Os ataques de ransomware estão aumentando e, para as vítimas desses crimes, é um problema caro. Para os atores do outro lado, no entanto, a tendência oferece novas maneiras de ganhar dinheiro. Um exemplo disso é a função do broker de acesso inicial.
Os ataques de ransomware mais lucrativos só podem ser realizados acessando primeiro uma rede segura e os cibercriminosos nem sempre têm a capacidade de fazer isso. Em vez disso, eles podem comprar o acesso necessário de um corretor.
Então, o que são corretores de acesso inicial e como você pode se proteger contra eles?
O que são corretores de acesso inicial?
Os corretores de acesso inicial são agentes mal-intencionados que fornecem acesso a redes seguras mediante o pagamento de uma taxa. Eles geralmente são hackers, mas também podem obter acesso a redes usando engenharia social.
Sua motivação não é realizar ataques cibernéticos, mas sim vender o acesso a outra parte. Pela rentabilidade de ataques de ransomware e outros ataques cibernéticos, há muitos compradores em potencial para esse produto.
Isso permite que os corretores de acesso inicial obtenham lucros significativos, apesar de desempenharem apenas um pequeno papel no crime cibernético como um todo.
Como os corretores de acesso inicial obtêm acesso
Os corretores de acesso inicial usam uma variedade de técnicas para entrar em redes seguras. Se uma rede utiliza software desatualizado, os hackers podem invadir rapidamente. Eles também podem tentar descobrir as credenciais do usuário usando técnicas de força bruta como pulverização de senha. Ou eles podem tentar phishing, ou spear phishing, ataques contra usuários conhecidos.
Que tipos de acesso eles vendem?
Os corretores de acesso inicial vendem principalmente credenciais de usuário. Uma vez obtidos, eles permitem que o titular acesse uma rede da mesma forma que um usuário legítimo.
As credenciais do usuário são vendidas principalmente para protocolos de área de trabalho remota e VPNs. Alguns corretores de acesso inicial também levam a ideia adiante instalando software de gerenciamento remoto em servidores comprometidos. As credenciais para esse software são vendidas para fornecer acesso conveniente.
Depois de comprar credenciais, um invasor pode procurar informações valiosas, possivelmente desabilitar recursos de segurança e possivelmente instalar qualquer programa que desejar. Em outras palavras, as credenciais podem ser usadas para iniciar uma ampla variedade de ataques cibernéticos.
Quem compra dos corretores de acesso inicial?
Os corretores de acesso inicial vendem principalmente para operadores de ransomware. Eles vendem para o maior lance e o ransomware tende a ser a maneira mais lucrativa de usar seu produto. Mas o acesso inicial também pode ter valor para outras partes. Se um servidor tiver informações confidenciais, as credenciais do usuário poderão ser adquiridas com o objetivo de obtê-las.
Os corretores de acesso inicial vendem seus produtos em mercados da dark web. Suas páginas de produtos incluem informações como o tipo de servidor, o nível de acesso e a receita da empresa à qual o servidor pertence. Isso permite que os cibercriminosos com intenção de um tipo específico de ataque cibernético encontrem facilmente credenciais adequadas para essa finalidade.
O preço do acesso inicial varia de menos de cem dólares a muitos milhares. As credenciais geralmente são precificadas com base na receita da empresa proprietária da rede.
Como os agentes de acesso inicial causam um aumento nos ataques de ransomware
Ransomware não é um produto de software complicado. Também está amplamente disponível para compra na dark web. Muitos operadores de ransomware não são hackers especialistas. São pessoas comuns que possuem uma ferramenta poderosa.
A capacidade de ganhar dinheiro com ransomware não é, portanto, ditada pela capacidade técnica ou mesmo pelo acesso ao software. É limitado pelo fato de que encontrar redes para realizar ataques é difícil.
Grandes organizações gastam grandes quantias de dinheiro protegendo suas redes exatamente para essa finalidade. Romper, portanto, requer muito esforço e muitas tentativas de infiltração são malsucedidas.
Os intermediários de acesso inicial removem essa barreira à entrada. Eles se instalam e anunciam que já fizeram todo o trabalho duro. Por uma pequena taxa (em comparação com os lucros potenciais), qualquer pessoa pode acessar a rede de uma organização profissional.
Isso tem efeitos significativos na indústria de ransomware como um todo.
Oferece uma divisão de trabalho eficiente, permitindo que todas as partes se concentrem no que fazem melhor. Os hackers podem monetizar sua capacidade de acessar redes rapidamente e os grupos de ransomware podem se concentrar exclusivamente no lado da extorsão.
Também permite que indivíduos com conhecimentos técnicos limitados realizem ataques sem realmente aprender nada. O ransomware geralmente é vendido com instruções do usuário e suporte ao cliente. Os corretores de acesso inicial fornecem as credenciais do usuário necessárias para lucrar com isso.
Outro problema com os corretores de acesso inicial é que eles adicionam outra camada ao setor de ransomware. Se o autor de um ataque de ransomware for processado, o agente de acesso inicial que forneceu o acesso provavelmente não será processado e vice-versa. Isso torna o processo e a prevenção de ataques de ransomware mais difíceis como um todo.
Como se proteger contra corretores de acesso inicial
Os corretores de acesso inicial não visam indivíduos particulares, simplesmente não é lucrativo fazê-lo. Em vez disso, eles visam empresas. Se você é responsável por uma rede potencialmente valiosa, há muitas etapas que você pode seguir para dificultar o acesso.
- Todos os softwares devem ser mantidos atualizados com patches instalados imediatamente após o lançamento. Isso impede que agentes mal-intencionados explorem vulnerabilidades conhecidas.
- Qualquer pessoa com acesso a uma rede deve pensar sobre a ameaça representada por e-mails de phishing e spear phishing.
- O uso de senhas fortes deve ser aplicado a todos os usuários. Os usuários também devem ser impedidos de usar a mesma senha em várias contas.
- O uso de autenticação multifator deve ser aplicado. Se o acesso a uma rede exigir uma forma adicional de autenticação, as credenciais de usuário roubadas se tornarão ineficazes.
Os corretores de acesso inicial são uma ameaça importante a ser observada
Os corretores de acesso inicial são uma ameaça importante para as empresas estarem cientes. Depois de obter acesso a uma rede, eles anunciam a oportunidade na dark web e entregam as credenciais ao maior lance.
Isso fornece ao comprador a capacidade de roubar informações ou instalar ransomware, o que requer um desembolso financeiro significativo para ser corrigido.
Para evitar esse tipo de invasão, é importante manter as redes seguras atualizando o software regularmente e certificando-se de que todos os usuários estejam agindo com responsabilidade.
Como os hackers estão usando nossa própria tecnologia contra nós
Leia a seguir
Tópicos relacionados
- Segurança
- Cíber segurança
- Ransomware
Sobre o autor
Elliot é um escritor de tecnologia freelance. Ele escreve principalmente sobre fintech e segurança cibernética.
Assine a nossa newsletter
Junte-se à nossa newsletter para dicas de tecnologia, análises, e-books gratuitos e ofertas exclusivas!
Clique aqui para assinar