Los ataques de ransomware van en aumento y para las víctimas de estos delitos es un problema costoso. Sin embargo, para los actores del otro lado, la tendencia ofrece nuevas formas de ganar dinero. Un ejemplo de esto es el papel del intermediario de acceso inicial.
Los ataques de ransomware más rentables solo se pueden llevar a cabo accediendo primero a una red segura y los ciberdelincuentes no siempre tienen la capacidad de lograrlo. En cambio, pueden comprar el acceso necesario de un corredor.
Entonces, ¿qué son los intermediarios de acceso inicial y cómo puede protegerse contra ellos?
¿Qué son los corredores de acceso inicial?
Los intermediarios de acceso inicial son actores maliciosos que brindan acceso a redes seguras a cambio de una tarifa. A menudo son piratas informáticos, pero también pueden obtener acceso a las redes mediante la ingeniería social.
Su motivación no es llevar a cabo ciberataques ellos mismos, sino vender el acceso a otra parte. Debido a la rentabilidad de los ataques de ransomware y otros ataques cibernéticos, existen muchos compradores potenciales para este producto.
Esto permite que los corredores de acceso inicial obtengan ganancias significativas a pesar de que solo juegan un papel pequeño en el ciberdelito en su conjunto.
Cómo obtienen acceso los agentes de acceso inicial
Los corredores de acceso inicial utilizan una variedad de técnicas para ingresar a redes seguras. Si una red utiliza software obsoleto, los piratas informáticos pueden acceder rápidamente. También pueden intentar descifrar las credenciales de los usuarios utilizando técnicas de fuerza bruta , como la difusión de contraseñas . O pueden intentar ataques de phishing, o spear phishing , contra usuarios conocidos.
¿Qué tipos de acceso venden?
Los corredores de acceso inicial venden principalmente credenciales de usuario. Una vez obtenidas, permiten a su titular acceder a una red de la misma forma que un usuario legítimo.
Las credenciales de usuario se venden principalmente para protocolos de escritorio remoto y VPN. Algunos corredores de acceso inicial también llevan la idea más allá al instalar software de administración remota en servidores comprometidos. Luego, las credenciales para ese software se venden al proporcionar un acceso conveniente.
Después de comprar las credenciales, un atacante puede buscar información valiosa, posiblemente deshabilitar funciones de seguridad y potencialmente instalar cualquier programa que desee. En otras palabras, las credenciales se pueden utilizar para iniciar una amplia gama de ciberataques.
¿Quién compra a los corredores de acceso inicial?
Los corredores de acceso inicial venden principalmente a operadores de ransomware. Venden al mejor postor y el ransomware tiende a ser la forma más rentable de usar su producto. Pero el acceso inicial también puede tener valor para otras partes. Si un servidor tiene información confidencial, se pueden comprar credenciales de usuario con el fin de obtenerla.
Los corredores de acceso inicial venden sus productos en los mercados de la web oscura. Sus páginas de productos incluyen información como el tipo de servidor, el nivel de acceso y los ingresos de la empresa a la que pertenece el servidor. Esto permite que los ciberdelincuentes intenten un tipo específico de ciberataque para encontrar fácilmente las credenciales adecuadas para ese propósito.
El precio del acceso inicial varía desde menos de cien dólares hasta muchos miles. El precio de las credenciales generalmente se basa en los ingresos de la empresa propietaria de la red.
Cómo los agentes de acceso inicial provocan un aumento en los ataques de ransomware
Los corredores de acceso inicial no se dirigen a particulares, simplemente no es rentable hacerlo. En cambio, se dirigen a las empresas. Si está a cargo de una red potencialmente valiosa, hay muchos pasos que puede seguir para dificultar el acceso.
- Todo el software debe mantenerse actualizado con parches instalados inmediatamente después del lanzamiento. Esto evita que los actores maliciosos exploten las vulnerabilidades conocidas.
- Cualquier persona con acceso a una red debe pensar en la amenaza que representan tanto los correos electrónicos de phishing como de phishing selectivo.
- El uso de contraseñas seguras debe imponerse entre todos los usuarios. También se debe evitar que los usuarios utilicen la misma contraseña en varias cuentas.
- Se debe hacer cumplir el uso de la autenticación de múltiples factores. Si el acceso a una red requiere una forma adicional de autenticación, las credenciales de usuario robadas se vuelven ineficaces.
Los agentes de acceso inicial son una amenaza importante a tener en cuenta
Los corredores de acceso inicial son una amenaza importante que las empresas deben tener en cuenta. Una vez que obtienen acceso a una red, anuncian la oportunidad en la dark web y entregan las credenciales al mejor postor.
Esto brinda al comprador la capacidad de robar información o instalar ransomware, lo que requiere un desembolso financiero significativo para solucionarlo.
Para evitar este tipo de intrusión, es importante mantener las redes seguras actualizando el software regularmente y asegurándose de que todos los usuarios actúen de manera responsable.