como os IABs estão relacionados ao aumento dos ataques de ransomware?

Os corretores de o inicial são cibercriminosos especializados em violar empresas e vender o o a invasores de ransomware. Saiba como proteger sua empresa dos IABs.

Os ataques de ransomware aumentaram seriamente nos últimos dois anos, visando todas as verticais do mundo corporativo. Você pode supor que esses cibercriminosos são muito habilidosos, pois são capazes de comprometer muitas empresas; e se eu lhe disser que eles talvez não sejam tão habilidosos quanto você imagina, e que muitos desses grupos simplesmente compram o o a empresas de outros cibercriminosos? Bem-vindo ao mundo dos corretores de o inicial.

O que são corretores de o inicial?

Os corretores de o inicial vendem o a redes corporativas para qualquer pessoa que queira comprá-lo. Inicialmente, os IABs vendiam o o da empresa a cibercriminosos com vários interesses: obter uma posição em uma empresa para roubar sua propriedade intelectual ou segredos corporativos (ciberespionagem), encontrar dados contábeis que permitissem fraudes financeiras ou mesmo apenas números de cartão de crédito, adicionar máquinas corporativas a alguns botnets , usar o o para enviar spam, destruir dados, etc. Existem muitos casos em que comprar o a uma empresa pode ser interessante para um fraudador, mas isso foi antes da era do ransomware.

VEJO: Estratégia de segurança cibernética 2021: táticas, desafios e preocupações da cadeia de suprimentos (TechRepublic )

Vendo a midiatização massiva de casos de ransomware, alguns cibercriminosos decidiram tentar por conta própria ganhar dinheiro fácil dessa maneira – bem, não tão fácil, pois requer habilidades técnicas para comprometer uma empresa e se firmar em sua rede. É aqui que os IABs entram em ação.

Os grupos de ransomware viram aqui uma oportunidade de parar de repente de gastar tempo com o comprometimento inicial das empresas e se concentrar na implantação interna de seu ransomware e, às vezes, no apagamento completo dos dados de backup das empresas. O custo do o é insignificante em comparação com o resgate que é exigido das vítimas.

As atividades do IAB tornaram-se cada vez mais populares nos fóruns e mercados clandestinos de cibercriminosos (Figura A).

Figura A

Para vender o o nesses marketplaces, as corretoras sempre anunciam usando o mesmo tipo de informação: o setor a que a empresa pertence, seu número de funcionários, seu faturamento, o tipo de o e o preço do mesmo (Figura B).

Figura B

O preço para ar uma rede corporativa varia aproximadamente entre US$ 1.000 e US$ 10.000. Os IABs geralmente também fornecem o o exclusivamente a um cliente, mas não é tão raro que corretoras com baixa reputação vendam o mesmo o para vários clientes diferentes ao mesmo tempo antes de desaparecer.

Que tipo de o os IABs vendem?

Credenciais do Active Directory

O o mais valioso que um IAB pode vender é um o de de domínio, com capacidade de ar o Active Directory da empresa. Esse tipo de o reduz drasticamente a quantidade de trabalho para qualquer grupo de ransomware, porque eles podem usá-lo imediatamente para distribuir malware por toda a rede.

o aos painéis

O o a diferentes painéis de controle íveis pela internet pode ser comercializado pelos IABs. Esses painéis geralmente fornecem o a conteúdo de hospedagem na web, muitas vezes incluindo soluções de pagamento e, portanto, detalhes de cartão de crédito. O mais popular desses painéis é o anel.

o ao shell da Web

Um web shell é um pequeno pedaço de software que repousa silenciosamente na arquitetura de um servidor web. Ele geralmente está oculto em uma pasta, e apenas o invasor que comprometeu o servidor da Web e colocou o shell da Web lá sabe como á-lo. Além disso, alguns web shells podem ter seu o protegido por uma senha definida pelo invasor. Alguns IABs configuram web shells em servidores web comprometidos e vendem o a eles.

o RDP

O o mais comum vendido em fóruns clandestinos é o o Remote Desktop Protocol. Esse protocolo é muito popular entre as empresas, especialmente para trabalhadores remotos que podem ar recursos corporativos dessa maneira. Tudo o que ele precisa é de um e senha, e é muito fácil para um invasor fazer varreduras maciças de servidores RDP em toda a Internet e tentar forçar a força bruta.

o VPN

Mais e mais empresas implantaram redes privadas virtuais para permitir que seus funcionários remotos se conectem à rede corporativa e trabalhem com eficiência. Da mesma forma que com o RDP, se não houver autenticação de dois fatores, basta um e uma senha para ter o à rede corporativa.

o a máquinas virtuais

Os IABs vendem cada vez mais o root aos servidores VMware ESXi para gangues de ransomware. O ransomware DarkSide, por exemplo, contém código que visa especificamente esses sistemas.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

o RMM

O Remote Monitoring and Management é um software projetado para ajudar os profissionais de TI a gerenciar redes. Eles oferecem permissões elevadas em várias máquinas da rede, tornando os dados interessantes para os IABs venderem.

Como posso proteger nossos negócios dos IABs?

Como uma empresa pode proteger os ativos que estão em risco de corretores de o inicial? Siga estas recomendações para reduzir o risco.

o VPN/RDP/RMM/painéis de controle

• Use apenas gateways RDP e VPN que em 2FA. Também use apenas painéis de controle que permitem 2FA. Embora ainda seja possível hackeá-los, é complicado vender esse o, pois precisa de trabalho manual para cada o. Um cibercriminoso que deseja ar uma empresa certamente não usará essa solução e tentará obter outra.
• Habilite a autenticação em nível de rede para o RDP.
• Tenha uma política de gerenciamento de senha forte para evitar a força bruta de senhas fáceis.
• Se possível, não permita conexões remotas para contas privilegiadas.
• Bloqueie automaticamente os usuários com mais de três ou cinco tentativas de malsucedidas e investigue-as.
• Alguns painéis possuem plugins de segurança. Deve ser sempre ativado e usado.

Conchas da Web

Monitore o conteúdo da web de seus servidores web. Verifique se há algum novo arquivo que apareça em uma pasta que não deva ser ada por convidados e usuários. Além disso, caso um invasor substitua um arquivo por um shell da Web, verifique se há alguma alteração de hash de qualquer um desses arquivos que não resultaria de uma atualização.

Monitore fóruns clandestinos

Algumas empresas fornecem monitoramento da Dark Web e, mais amplamente, de vários fóruns e mercados cibercriminosos. Inscreva-se para ser alertado sempre que a empresa for mencionada por cibercriminosos, principalmente IABs. Dessa forma, se infelizmente a rede já estiver comprometida, talvez o impacto ainda possa ser limitado ao reagir rapidamente à ameaça.

Não se esqueça das boas práticas gerais de segurança

• Mantenha seus sistemas e softwares sempre atualizados e sempre implante patches o mais rápido possível. Isso pode evitar um comprometimento inicial por meio de uma nova vulnerabilidade.
• Execute auditorias de segurança completas em sua rede e computadores e corrija tudo o que precisa ser alterado ou atualizado.
• Use Sistemas de Prevenção de Intrusão / Sistemas de Detecção de Intrusão (IPS/IDS).