Estudio de Trend Micro: El auge del mercado de delitos cibernéticos de acceso como servicio fomenta los ataques de ransomware. Alemania es uno de los países más afectados.
Trend Micro, uno de los principales proveedores mundiales de soluciones de ciberseguridad, publica un nuevo estudio que arroja luz sobre la opaca cadena de suministro del ciberdelito que impulsa el aumento actual de los ataques de ransomware. La demanda ha crecido exponencialmente en los últimos dos años, y muchos mercados de ciberdelincuentes ahora tienen su propia división de acceso como servicio.
Muchos nuevos mercados ciberdelincuentes con Access-as-a-Service
El estudio se basa en el análisis de más de 900 listados de corredores de acceso desde enero hasta agosto de 2021 inclusive en varios foros de ciberdelincuencia en inglés y ruso.
Con el 36 por ciento de los anuncios en todo el mundo, la educación es el sector más afectado. Por lo tanto, tiene más de tres veces el número de ofertas que la segunda y tercera industria objetivo más común: los sectores de producción y servicios representan cada uno el 11 por ciento. Los países más afectados incluyen Estados Unidos, España, Alemania, Francia y el Reino Unido. En Alemania, la industria manufacturera es la más afectada con el 28 por ciento de las ofertas, seguida de cerca por el sistema educativo con el 26 por ciento.
Los equipos de respuesta a incidentes deben investigar las cadenas de ataque
"Hasta ahora, la atención de los medios y las empresas se ha centrado principalmente en la carga útil del ransomware, es decir, la transmisión y el cifrado de los datos reales del usuario, aunque el enfoque principal debe centrarse primero en contener las actividades de los intermediarios de acceso inicial (IAB)", enfatiza Richard Werner. , Consultor de Negocios en Trend Micro. “Los equipos de respuesta a incidentes a menudo necesitan investigar dos o más cadenas de ataque superpuestas para identificar la causa raíz de un ataque de ransomware. Esto a menudo complica todo el proceso de respuesta a incidentes. El monitoreo de las actividades de los corredores de acceso que roban y venden el acceso a la red de la empresa puede evitar que los actores de ransomware se reproduzcan. Para lograr esto, todos los involucrados en la seguridad de TI deben trabajar juntos, porque muchas empresas, incluidas las grandes, no pueden hacerlo por sí solas".
El informe muestra tres tipos principales de intermediarios de acceso
- Vendedores oportunistas, que se enfocan en obtener ganancias rápidas y también están activos en otras áreas del delito cibernético.
- Corredores dedicados son piratas informáticos avanzados y hábiles que ofrecen acceso a una variedad de empresas. Sus servicios a menudo son reclutados por actores y grupos de ransomware más pequeños.
- Tiendas en líneaque ofrecen credenciales de Protocolo de escritorio remoto (RDP) y Red privada virtual (VPN). Estas tiendas especializadas solo garantizan el acceso a un único ordenador, pero no a una red completa ni a toda la empresa. Sin embargo, esto brinda a los ciberdelincuentes menos experimentados una forma simple y automatizada de obtener acceso. Incluso pueden buscar específicamente la ubicación, el proveedor de servicios de Internet (ISP), el sistema operativo, el número de puerto, los derechos de administrador o el nombre de la empresa.
La mayoría de las ofertas de intermediarios de acceso incluyen un conjunto simple de información de acceso, que puede provenir de una variedad de fuentes. Los orígenes comunes de los datos son infracciones de seguridad anteriores y hash de contraseñas descifradas, computadoras bot comprometidas, vulnerabilidades explotadas en puertas de enlace VPN o servidores web y ataques oportunistas aislados.
Precios baratos por acceso RDP robado
Los precios del mercado negro para el acceso a RDP son extremadamente baratos (Imagen: Trend Micro).
El precio varía según el tipo de acceso (una sola máquina o toda una red o empresa), los ingresos anuales de la empresa y la cantidad de trabajo adicional que requiere el comprador. Si bien el acceso RDP se puede comprar por tan solo diez dólares, el precio promedio de las credenciales de administrador para una empresa es de $8.500. Para víctimas particularmente atractivas, los premios pueden llegar a $100.000.
Para protegerse contra esto, Trend Micro recomienda las siguientes estrategias de seguridad:
- Supervisar los incidentes de seguridad conocidos públicamente.
- Restablezca todas las contraseñas de los usuarios si sospecha que las credenciales corporativas pueden verse comprometidas.
- Utilice la autenticación multifactor (MFA).
- Busque anomalías en el comportamiento del usuario.
- Preste atención a su zona desmilitarizada (DMZ) y tenga en cuenta que los servicios basados en Internet como VPN, webmail y servidores web están bajo ataque constante.
- Implementar red y microsegmentación.
- Implemente políticas de contraseña comprobadas.
- Siga el principio de Confianza Cero.
Información adicional: el informe completo, Investigating the Emerging Access-as-a-Service Market, está disponible en el sitio web de Trend Micro en.
Más en TrendMicro.com
Acerca de Trend Micro Como uno de los principales proveedores de seguridad de TI del mundo, Trend Micro ayuda a crear un mundo seguro para el intercambio de datos digitales. Con más de 30 años de experiencia en seguridad, investigación de amenazas globales e innovación constante, Trend Micro ofrece protección para empresas, agencias gubernamentales y consumidores. Gracias a nuestra estrategia de seguridad XGen™, nuestras soluciones se benefician de una combinación intergeneracional de técnicas de defensa optimizadas para entornos de vanguardia. La información de amenazas en red permite una protección mejor y más rápida. Optimizadas para cargas de trabajo en la nube, terminales, correo electrónico, IIoT y redes, nuestras soluciones conectadas brindan visibilidad centralizada en toda la empresa para una detección y respuesta más rápidas a las amenazas.