Initial Access Broker: chi sono e perché sono così importanti per i gruppi ransomware?

Initial Access Broker: chi sono e perché sono così importanti per i gruppi ransomware?

Gli operatori ransomware acquistano da terzi l'accesso a sistemi compromessi di aziende e realtà governative: un mercato florido e dai costi accessibili, purtroppo, a molti

di pubblicata il , alle 18:01 nel canale Sicurezza
 

Nel corso della giornata di ieri la società di sicurezza informatica KELA ha pubblicato un rapporto che approfondisce lo stato del mercato Initial Access Broker. Di cosa si tratta? Gli Initial Access Broker, o IAB, sono individui o gruppi che sono riusciti ad ottenere l'accesso ad una rete o un sistema aziendale tramite mezzi che possono includere, furto di credenziali, attacchi brute force e sfruttamento di vulnerabilità 0-day o vulnerabilità note ma non corrette.

Si tratta di un mercato particolarmente interessante agli occhi dei gruppi che operano in regime di Ransomware-as-a-Service: gli IAB vengono impiegati direttamente o vengono pagati in cambio dell'accesso ad un sistema bersaglio. Ciò permette ai gruppi ransomware di saltare a piè pari il primo passo del processo di intrusione, spesso quello più complicato ed oneroso poiché richiede un lungo lavoro di ricerca per trovare un sistema vulnerabile.

KELA rileva una tendenza preoccupante: il mercato IAB continua ad espandersi e con prezzi in calo nonostante le potenziali ricompense derivanti da attacchi ransomware a segno. La società ha rilevato un costo medio di accesso ad una rete di 5400 dollari, e un prezzo mediano di 1000 dollari. Se dall'altro capo collochiamo i riscatti richiesti per operazioni estorsive condotte tramite ransomware, che possono arrivare nell'ordine di grandezza dei milioni di dollari, appare immediatamente evidente come il prezzo da pagare per ottenere un accesso ad una rete sia, purtroppo, molto conveniente.

I ricercatori di KELA hanno passato al setaccio oltre un migliaio di annunci pubblicati nelle community del dark web nel periodo dall'1 luglio 2020 al 30 giugno 2021 e hanno scoperto che contenevano una serie di offerte basate su account di rete compromessi, come accesso remoto ad un sistema di un organizzazione, accesso all'account con privilegi elevati e accesso remoto basato su RDP e VPN. Le offerte di maggior valore sono, prevedibilmente, quelle che trattano accessi ad alto livello di aziende di alto profilo.

Ad esempio i ricercatori sottolineano di essersi imbattuti in un'offerta di 12 Bitcoin (circa 460 mila dollari nel momento in cui scriviamo) per un accesso ad un'azienda australiana dal fatturato annuo di 500 milioni di dollari. Oppure 5 bitcoin per l'accesso ad un'azienda IT Statunitense. L'accesso a realtà di minori dimensioni viene contrattato a cifre attorno alle centinaia di dollari. KELA osserva che mentre alcuni attori preferiscono lavorare a commissione, ovvero per una percentuale del bottino raccolto da un attacco ransomware andato a segno, la maggior parte degli IAB pratica un prezziario fisso.

"Gli IAB sono diventati partecipanti professionali dell'economia RaaS. Trovano continuamente nuovi vettori di accesso iniziale, espandono la superficie di attacco e seguono le richieste dei loro clienti" osserva KELA. In ogni caso, anche a fronte della maggior attenzione che governi e forze dell'ordine stanno prestando a queste vicende, sulla scorta di quanto accaduto a realtà come Kaseya e Colonial Pipeline, molti di questi broker si stanno spostando dalle community pubbliche a contatti privati con i gruppi RaaS.

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
giovanni6903 Agosto 2021, 22:31 #1
Che schifezza di mondo...
pabloski04 Agosto 2021, 10:03 #2
Originariamente inviato da: giovanni69
Che schifezza di mondo...


La vera schifezza sono quelle facce da non dico cosa dei dirigenti super pagati delle varie multinazionali ( che fatturano miliardi ), che non spendono un centesimo in sicurezza.

Ieri leggevo un articolo che parlava di una mancanza di oltre 150.000 professionisti di cybersecurity. Quelli che ci sono, sono costretti a lavorare come schiavi nelle miniere e spessissimo gli va in pappa il cervello.

Insomma, non assumono, non pagano il dovuto, costringono quelli che ci sono a fare straordinari che li distruggono, non spendono in macchinari e software per la sicurezza. E poi ci lamentiamo?

Sempre ieri, Google ha dovuto alzare la voce e pubblicare un'analisi, in cui chiede alle aziende che usano Linux ( compreso lo stack per lo sviluppo, cioè gcc e compagnia ) di investire e mettere sul piatto almeno 1000 ingegneri. Perchè? Perchè siamo sotto organico. E guarda caso, Google ha fatto notare che proprio sul fronte sicurezza c'è la voragine più grossa.
TorettoMilano04 Agosto 2021, 10:10 #3
Originariamente inviato da: pabloski
La vera schifezza sono quelle facce da non dico cosa dei dirigenti super pagati delle varie multinazionali ( che fatturano miliardi ), che non spendono un centesimo in sicurezza.

Ieri leggevo un articolo che parlava di una mancanza di oltre 150.000 professionisti di cybersecurity. Quelli che ci sono, sono costretti a lavorare come schiavi nelle miniere e spessissimo gli va in pappa il cervello.

Insomma, non assumono, non pagano il dovuto, costringono quelli che ci sono a fare straordinari che li distruggono, non spendono in macchinari e software per la sicurezza. E poi ci lamentiamo?

Sempre ieri, Google ha dovuto alzare la voce e pubblicare un'analisi, in cui chiede alle aziende che usano Linux ( compreso lo stack per lo sviluppo, cioè gcc e compagnia ) di investire e mettere sul piatto almeno 1000 ingegneri. Perchè? Perchè siamo sotto organico. E guarda caso, Google ha fatto notare che proprio sul fronte sicurezza c'è la voragine più grossa.


grazie alle crypto abbiamo scoperto tutto ciò, siano lodate!!!
pabloski04 Agosto 2021, 11:53 #4
Originariamente inviato da: TorettoMilano
grazie alle crypto abbiamo scoperto tutto ciò, siano lodate!!!


Ti serve uno psicologo? Ti dò il numero di uno bravo.
TorettoMilano04 Agosto 2021, 11:58 #5
Originariamente inviato da: pabloski
Ti serve uno psicologo? Ti dò il numero di uno bravo.


scrivi pure in privato, grazie!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^