Noticias
Trend Micro confirma el negocio del «Acceso como servicio» para los ataques de Ransonware
Los ataques de Ransonware son cada vez más peligrosos y numerosos. Fue la gran amenaza para la ciberseguridad en 2020 y está dispuesto a repetir este penoso «galardón» en 2021 y en años venideros. Una investigación de Trend Micro, detalla la turbia cadena de suministro de la ciberdelincuencia que está detrás de gran parte del reciente aumento de estos ataques.
Ya dijimos hace unos meses que el ransomware como servicio era un gran problema para las empresas. Como toda campaña de malware necesita código y distribución, pero no todos los ciberdelincuentes cuentan con capacidad propia para llevarlos a término. Ahí es donde entra el ransomware como servicio (RaaS), donde los desarrolladores venden o alquilan malware a los usuarios en foros de la web oscura. Estos esquemas de afiliados brindan a los atacantes de bajo nivel la capacidad de distribuir y administrar campañas de ransomware, mientras que el desarrollador del código recibe una parte del pago de cada víctima de rescate por la clave de descifrado.
La investigación de TrenMicro apunta a ello y va más lejos. La demanda de estos servicios ha aumentado tanto en los últimos dos años que muchos mercados de ciberdelincuentes tienen ahora sus propias secciones de Acceso-como -servicio. «La atención de los medios de comunicación y de la ciberseguridad corporativa se ha centrado únicamente en la carga útil del ransomware, cuando debemos concentrarnos primero en mitigar la actividad de los intermediarios de acceso inicial«, afirma David Sancho, investigador senior de amenazas de Trend Micro.
Y es que los encargados de responder a los incidentes a menudo tienen que investigar dos o más cadenas de ataque superpuestas para identificar la causa raíz de un ataque de ransomware, lo que a menudo complica el proceso general de IR. «Los equipos podrían adelantarse a este problema vigilando la actividad de los brokers de acceso que roban y venden el acceso a la red de la empresa, cortando esencialmente el suministro para los actores del ransomware», dicen desde la firma de ciberseguridad.
Ataques de Ransonware: una gran amenaza
La investigación se basa en un análisis de más de 900 listados de brokers de acceso desde enero hasta agosto de 2021 a través de múltiples foros de cibercrimen en inglés y ruso.
El sector de la educación fue el más frecuente, con un 36% de los anuncios, más del triple que el segundo y tercer sector más atacados, el de la fabricación y el de servicios profesionales, que representan ambos un 11%.
El informe revela tres tipos principales de brokers de acceso:
- Vendedores oportunistas que se centran en obtener beneficios rápidos y no dedican todo su tiempo al acceso.
- Brokers dedicados, son hackers sofisticados y capacitados que ofrecen acceso a una variedad de empresas diferentes. Sus servicios suelen ser utilizados por grupos y afiliados de ransomware más pequeños.
- Tiendas online que ofrecen credenciales RDP y VPN. Estas tiendas dedicadas solo garantizan el acceso a una sola máquina en lugar de a toda una red u organización. Sin embargo, representan una forma simple y automatizada para que los ciberdelincuentes con habilidades más bajas adquieran acceso. Incluso pueden buscar por ubicación, ISP, sistema operativo, número de puerto, derechos de administrador o nombre de la empresa.
La mayoría de las ofertas de los corredores de acceso implican un conjunto simple de credenciales que pueden provenir de: brechas anteriores y ruptura de hash de contraseñas; computadoras bot comprometidas; explotación de vulnerabilidades en pasarelas VPN, servidores web, etc.; o ataques oportunistas puntuales.
Los precios varían según el tipo de acceso (una sola máquina o toda la red/corporación), los ingresos anuales de la empresa y la cantidad de trabajo adicional que debe realizar el comprador. Aunque el acceso RDP se puede obtener por tan solo 10 dólares, el precio promedio de las credenciales de administrador en una empresa es de alrededor de 8.500 dólares. Sin embargo, los precios pueden llegar hasta los 100.000 dólares.
Estrategias a seguir
Trend Micro recomienda las siguientes estrategias para los defensores:
- Monitorizar las brechas públicas.
- Activar un restablecimiento de contraseña para todos los usuarios si sospecha que se pueden violar las credenciales corporativas.
- Configurar la autenticación multifactor (MFA).
- Supervisar el comportamiento del usuario.
- Observar la DMZ y asumir que los servicios de Internet como VPN, webmail y servidores web están bajo ataque constante.
- Implementar segmentación y microsegmentación de la red.
- Desplegar de buenas prácticas políticas de contraseñas.
- Implementar alguna forma de arquitectura Zero Trust.
Más información | «Investigating the Emerging Access-as-a-Service Market«