Initial Access Broker: chi sono e perché sono così importanti per i gruppi ransomware?

Nel corso della giornata di ieri la società di sicurezza informatica KELA ha pubblicato un rapporto che approfondisce lo stato del mercato Initial Access Broker. Di cosa si tratta? Gli Initial Access Broker, o IAB, sono individui o gruppi che sono riusciti ad ottenere l'accesso ad una rete o un sistema aziendale tramite mezzi che possono includere, furto di credenziali, attacchi brute force e sfruttamento di vulnerabilità 0-day o vulnerabilità note ma non corrette.

Si tratta di un mercato particolarmente interessante agli occhi dei gruppi che operano in regime di Ransomware-as-a-Service: gli IAB vengono impiegati direttamente o vengono pagati in cambio dell'accesso ad un sistema bersaglio. Ciò permette ai gruppi ransomware di saltare a piè pari il primo passo del processo di intrusione, spesso quello più complicato ed oneroso poiché richiede un lungo lavoro di ricerca per trovare un sistema vulnerabile.

KELA rileva una tendenza preoccupante: il mercato IAB continua ad espandersi e con prezzi in calo nonostante le potenziali ricompense derivanti da attacchi ransomware a segno. La società ha rilevato un costo medio di accesso ad una rete di 5400 dollari, e un prezzo mediano di 1000 dollari. Se dall'altro capo collochiamo i riscatti richiesti per operazioni estorsive condotte tramite ransomware, che possono arrivare nell'ordine di grandezza dei milioni di dollari, appare immediatamente evidente come il prezzo da pagare per ottenere un accesso ad una rete sia, purtroppo, molto conveniente.

I ricercatori di KELA hanno passato al setaccio oltre un migliaio di annunci pubblicati nelle community del dark web nel periodo dall'1 luglio 2020 al 30 giugno 2021 e hanno scoperto che contenevano una serie di offerte basate su account di rete compromessi, come accesso remoto ad un sistema di un organizzazione, accesso all'account con privilegi elevati e accesso remoto basato su RDP e VPN. Le offerte di maggior valore sono, prevedibilmente, quelle che trattano accessi ad alto livello di aziende di alto profilo.

Ad esempio i ricercatori sottolineano di essersi imbattuti in un'offerta di 12 Bitcoin (circa 460 mila dollari nel momento in cui scriviamo) per un accesso ad un'azienda australiana dal fatturato annuo di 500 milioni di dollari. Oppure 5 bitcoin per l'accesso ad un'azienda IT Statunitense. L'accesso a realtà di minori dimensioni viene contrattato a cifre attorno alle centinaia di dollari. KELA osserva che mentre alcuni attori preferiscono lavorare a commissione, ovvero per una percentuale del bottino raccolto da un attacco ransomware andato a segno, la maggior parte degli IAB pratica un prezziario fisso.

"Gli IAB sono diventati partecipanti professionali dell'economia RaaS. Trovano continuamente nuovi vettori di accesso iniziale, espandono la superficie di attacco e seguono le richieste dei loro clienti" osserva KELA. In ogni caso, anche a fronte della maggior attenzione che governi e forze dell'ordine stanno prestando a queste vicende, sulla scorta di quanto accaduto a realtà come Kaseya e Colonial Pipeline, molti di questi broker si stanno spostando dalle community pubbliche a contatti privati con i gruppi RaaS.