Cómo el mercado de corredores de acceso inicial conduce a ataques de ransomware

Para realizar un ataque de ransomware con éxito, los ciberdelincuentes primero deben obtener acceso a la PC o red de su víctima.

Atrás quedaron los días en que el ransomware se limitaba a malware que se dirigía a personas con amenazas falsas de organizaciones como el FBI o el IRS, exigiendo el pago a través de una ventana emergente de PC después del cifrado.

Ahora, aunque las personas aún pueden encontrar ransomware, especialmente cuando los programas antivirus no están en uso, las empresas son el gran juego que cazan los delincuentes.

El tiempo es dinero en el mundo corporativo, y el ransomware se ha disparado en los últimos años para convertirse en un negocio de ciberdelincuentes casi independiente. Como resultado, han surgido ‘servicios secundarios’ que ayudan a los desarrolladores de ransomware en el despliegue de sus creaciones ilícitas, que van desde servicios lingüísticos para manejar la negociación del pago del rescate hasta agentes de acceso inicial (IAB) que ofrecen el acceso encubierto a una red requerida en el primera etapa de un ataque de ransomware.

Como se señaló en una nueva investigación realizada por KELA, la economía del ransomware como servicio (RaaS) se basa en los IAB para reducir la necesidad de un reconocimiento prolongado o el tiempo para encontrar un método de entrada.

En promedio, los IAB venden acceso inicial por $ 4600 y las ventas tardan entre uno y tres días en finalizar. En los casos identificados por la firma de seguridad cibernética, una vez que se ha comprado el acceso, toma hasta un mes para que ocurra un ataque de ransomware, y potencialmente para que la víctima sea posteriormente nombrada y avergonzada en un sitio de filtración.

captura de pantalla-2022-02-14-a-10-52-00.png

KELA

Como mínimo, cinco operadores conocidos de ransomware de habla rusa están utilizando IAB: LockBit, Avaddon, DarkSide, Conti y BlackByte.

KELA llevó a cabo un examen de los incidentes de seguridad anteriores que involucraron a estos grupos de ransomware. El primero es LockBit, del cual comenzó un ataque contra Bangkok Airways debido al acceso a AnyConnect VPN ofrecido por un actor de amenazas llamado «babam».

Si bien no está claro exactamente quién compró el acceso a Bangkok Airways, el 23 de agosto de 2021, menos de un mes después de que se ofreciera acceso en foros clandestinos, la aerolínea se infectó con ransomware. Dos días después, Bangkok Airways apareció en el sitio de fugas de LockBit.

«Bangkok Airways no reveló ningún detalle de la investigación, pero según la línea de tiempo, es muy posible que el ataque se haya realizado utilizando el acceso comprado», señalaron los investigadores.

captura de pantalla-2022-02-14-a-10-52-57.png

KELA

En un ataque realizado por Avaddon, se descubrió que el acceso a un proveedor de productos de acero de los EAU estaba a la venta en un foro en una publicación fechada el 8 de marzo de 2021. Tres semanas después, la empresa apareció en el dominio de Avaddon. (Según los informes, este grupo se ha cerrado y se ha puesto a disposición una herramienta para generar claves de descifrado).

DarkSide es famoso por un ataque a Colonial Pipeline que provocó pánico en la compra de combustible en los Estados Unidos. Sin embargo, en un incidente separado que tuvo lugar el 16 de enero de 2021, el mismo IAB «babam» intentó vender el acceso a la empresa de tecnología minera Gyrodata.

Dos días después, el acceso fue declarado vendido, y entre el 16 de enero y el 22 de febrero, un actor no autorizado estuvo al acecho en las redes de la firma. El 20 de febrero, DarkSide publicó el nombre de la empresa como víctima.

En otro caso, el acceso a un fabricante estadounidense se vendió el 8 de octubre de 2021 por $800. En dos semanas, Conti expuso a la empresa en su sitio de fugas y algunos datos robados también se publicaron en línea.

Los ataques de ransomware contra objetivos de alto perfil no desaparecerán pronto. Justo antes de que comenzara el Super Bowl, los San Francisco 49ers se convirtieron en la última víctima de BlackByte, quien también nombró a la organización en un sitio web de filtración.

Cobertura anterior y relacionada


¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0

Deja un comentario