Cinco entidades cibercriminosas vendem acesso a 2.300 redes corporativas
Não é possível falar sobre um ataque cibernético bem-sucedido sem acesso prévio à rede da empresa-alvo. Os "Initial Acess Brokers" (IABs) são os atores mal-intencionados que executam essa primeira etapa e estão tornando o acesso às redes corporativas mais fácil do que nunca.
Uma reportagem recente afirmou que apenas cinco operadores cibercriminosos representavam cerca de 25% de todas as ofertas de acesso à rede corporativa disponíveis para venda em fóruns clandestinos durante o segundo semestre de 2021 e o primeiro semestre de 2022. Esses "Initial Acess Brokers" fornecem detalhes de contas roubadas de VPN e protocolo de área de trabalho remota (RDP), bem como outras credenciais que os criminosos podem usar para invadir as redes de mais de 2.300 organizações em todo o mundo, sem dificuldade. O preço médio do acesso inicial é de cerca de US$ 2.800.
É importante observar que esses cinco operadores lideram um mercado muito maior e em rápido crescimento.
Como funciona o mercado de acesso clandestino?
Os IABs obtêm acesso aos sistemas roubando credenciais de rede de terceiros usando táticas de engenharia social, como phishing, explorando vulnerabilidades de software não corrigidas, instalando malware localmente após obter acesso físico a uma organização por meio de ataques não autorizados de força bruta ou de pulverização de senha. E eles normalmente oferecem um dos seguintes tipos de acesso:
- Active Directory (AD)
- Redes Privadas Virtuais (VPNs)
- Credenciais do usuário raiz
- Acesso ao Web Shell
- Monitoramento e Gerenciamento Remoto (RMM)
- Protocolo de Área de Trabalho Remota (RDP)
- Painéis de controle
O custo deste serviço de acesso varia, maioritariamente em função do tipo de organização visada. Os fatores que influenciam o preço diferem desde o setor em que a empresa atua até seu tamanho, número de funcionários e receita anual. O nível de vulnerabilidade da organização também é levado em consideração, o que indica o tempo e os recursos que os IABs precisam usar para obter o acesso inicial, bem como o tipo de acesso que está sendo vendido.
De acordo com o artigo da Dark Reading, 70% dos tipos de acesso listados pelos IABs consistiam em detalhes de contas RDP e VPN. 47% das ofertas envolviam acesso com direitos de administrador na rede comprometida. Da mesma forma, 28% dos anúncios especificando que tipo de direitos eles obtiveram envolveram direitos de administrador de domínio, 23% obtiveram direitos de uso padrão e uma pequena fração forneceu acesso a contas root.
Em fóruns clandestinos, onde IABs vendem acesso a redes corporativas, as mensagens postadas geralmente são detalhadas e fornecem aos potenciais compradores informações sobre a vítima, o método usado para obter acesso, o que esse acesso pode oferecer a um cibercriminoso interessado e muito mais.
Como evitar ser vítima do mercado de acesso como serviço?
A proteção contra esses operadores cibercriminosos requer segurança consolidada capaz de proteger a rede da organização e corrigir quaisquer falhas que ela possa ter. Duas soluções são essenciais nesse processo: autenticação multifator (MFA) e proteção de endpoint.
Autenticação multifator (MFA)
Os invasores geralmente procuram ativamente sistemas que dependem da forma tradicional de autenticação: nome de usuário e senha. Um método que não oferece proteção hoje. A autenticação multifator deve ser aplicada para atenuar essa vulnerabilidade. Se o acesso a uma rede exigir uma forma adicional de autenticação, as credenciais de usuário roubadas perderão sua eficácia.
É importante introduzir essa camada de proteção para acesso remoto à rede, conexões VPN, e-mail e acesso administrativo.
A solução de autenticação multifator da WatchGuard, além de permitir que os usuários autentiquem diretamente de seu próprio telefone, oferece proteção adicional usando o DNA do dispositivo móvel que verifica se a autorização vem do telefone do usuário autorizado.
Proteção de endpoint
A proteção RDP, incluída no Threat Hunting Service integrado à solução WatchGuard EPDR, impede que hackers roubem credenciais em servidores RDP, detectando ataques de força bruta e impedindo comunicações de servidores externos envolvidos nesse tipo de ataque. A melhor defesa é interromper o ataque em um estágio inicial e, por esse motivo, recomendamos habilitar a proteção RDP o tempo todo.
O monitoramento contínuo de endpoints impede a execução de processos desconhecidos, além de possibilitar análises comportamentais que podem expor criminosos que obtiveram acesso, protegendo contra ameaças persistentes avançadas (APTs), malware de dia zero, ransomware, phishing, rootkits, vulnerabilidades de memória e non-malware attack.
O WatchGuard EPDR não apenas combina proteção de endpoint (EPP) e detecção e resposta (EDR), mas também fornece o módulo de gerenciamento de vulnerabilidade que descobre e implanta os patches necessários para proteger a organização. Isso é de suma importância, pois as vulnerabilidades costumam ser um dos pontos de entrada mais comuns usados pelos criminosos.
O WatchGuard EPDR também inclui tecnologia anti-exploit que protege contra roubo de credenciais e evita movimentos laterais por hackers usando credenciais roubadas, tornando-o um complemento ideal para o gerenciamento de patches.