Ransomware explora os corretores de acesso antecipado

Escrito por: Ingecom

Partilhe em    

Os grupos ransomware continuam a evoluir e a ameaçar organizações em todo o mundo. Enquanto alguns grupos reduziram ou encerraram a sua atividade no segundo trimestre de 2022, novos atores como o Black Basta surgiram e continuaram a extorquir empresas.

Os operadores de ransomware e de sites fuga de dados utilizam constantemente o crescente ecossistema de cibercrime para facilitar as fases de reconhecimento e de compromisso inicial, confiando constantemente noutros cibercriminosos, incluindo os Corretores de Acesso Inicial (Initial Access Brokers - IAB). Estes atores, que vendem acesso remoto a redes empresariais, são uma parte importante da cadeia de fornecimento de ransomware, pelo que a monitorização dos fornecedores de acesso à rede fornece uma visão do ecossistema de ransomware como serviço (RaaS). 

No Q2 2022, a KELA, uma empresa especializada em inteligência cibernética e cujas soluções são distribuídas na Península Ibérica através do distribuidor de valor acrescentado Ingecom, identificou cerca de 650 vítimas nas suas fontes, que incluem sites de violação de dados de atacantes de ransomware e ato[1]res similares, os seus portais comerciais e relatórios públicos. Em comparação com o último trimestre, a atividade diminuiu ligeiramente – globalmente em 7% – e continuou a diminuir mês a mês, enquanto a tendência no primeiro trimestre mostrou um aumento no número de vítimas. Este número de vítimas é também mais baixo do que no mesmo trimestre de 2021. Em média, a KELA observou 216 ataques por mês no segundo trimestre de 2022, em comparação com 232 vítimas no primeiro trimestre. No entanto, isto não nos deve fazer baixar a guarda porque os cibercriminosos não deixaram de atuar. 

A KELA também informou que durante o segundo trimestre deste ano, cerca de 110 agentes estavam envolvidos na venda de acesso à rede, na medida em que cada um dos três principais agentes de acesso inicial oferecia mais de 40 acessos para venda. Durante o mesmo período, a KELA rastreou mais de 550 listas de acesso à rede para venda, com um preço pedido acumulado para todos os acessos de cerca de 660 mil dólares.

Por outro lado, também foi visto que o período entre a venda do acesso à rede e o aparecimento da vítima como resultado do ransomware é geralmente um processo que dura cerca de um mês.

Mas o papel dos IAB não parece ficar por aqui. Observa-se que muitos deles estão dispostos não só a servir a cadeia de abastecimento de ransomware, como também a participar nos ataques. Neste sentido, tem-se visto um ator tem sido capaz de evoluir para um operador de resgates.

Fabrico e produtos industriais em destaque

O setor do fabrico e dos produtos industriais foi o mais visado pelos IAB, pelo ransomware e roubo de dados. Seguiram-se os serviços profissionais, engenharia e construção. Em segundo plano estão novos alvos populares como os cuidados de saúde (hospitais, empresas farmacêuticas ou clínicas dentárias) e o setor público e governamental, embora estes últimos sejam sempre controversos para os atacantes devido a questões morais, à baixa probabilidade de receberem um resgate ou medo de provocar uma maior perseguição por parte das forças de segurança.

Independentemente do setor de ataque, a KELA observa que o tipo de acesso mais comum oferecido pelos atores da ameaça foi o RDP e o VPN. Além disso, os Initial Access Brokers adaptaram rapidamente as explorações das vulnerabilidades recentemente reveladas para atacar redes não corrigidas.