Pregunta: ¿Cómo evitamos que los intermediarios de acceso inicial vendan acceso a nuestras redes a cualquier actor de ransomware que lo desee?
Ram Elboim, director ejecutivo de Sygnia: A medida que el ransomware continúa crecer como una amenaza cibernéticaLa nueva especialización entre los grupos de delitos cibernéticos les ha dado una ventaja en eficiencia. Una de las áreas de especialización de más rápido crecimiento involucra a los operadores que subcontratan el trabajo de obtener acceso a las redes de las víctimas para corredores de acceso inicial (IAB).
Al comienzo de un ataque de ransomware, un atacante necesita acceso inicial a la red de la organización objetivo, que es donde entran los IAB. Los IAB tienden a ser actores de amenazas oportunistas de nivel inferior que sistemáticamente obtienen acceso a las organizaciones, a menudo a través de campañas de phishing o spam. – y luego vender ese acceso en foros clandestinos a otros actores, incluidos los afiliados de ransomware como servicio (RaaS). Esos afiliados, que constantemente necesitan más acceso a las organizaciones para permanecer activos, dependen cada vez más de los IAB para proporcionar ese acceso.
También conocido como acceso como servicio, el acceso listo que ofrecen los IAB se ha convertido en una parte integral del ecosistema de ransomware. Los IAB proporcionan la información inicial que los grupos de ransomware necesitan para la penetración, de modo que los operadores puedan apuntar rápidamente a una gama más amplia de víctimas, acceder a sus redes y moverse lateralmente hasta obtener suficiente control para lanzar un ataque. Es un modelo eficiente para perpetuar el cibercrimen, que ayuda a impulsar el crecimiento del ransomware.
Cómo obtienen acceso los IAB
Los IAB generalmente proporcionan la ruta más fácil para obtener acceso a la red, generalmente a través de redes privadas virtuales (VPN) o tecnología de Protocolo de escritorio remoto (RDP). Los actores de amenazas pueden explotar algunos de los muchas vulnerabilidades de VPN que los investigadores han descubierto en los últimos años, o pueden escanear una red en busca de puertos RDP abiertos y realizar un seguimiento con varias técnicas para obtener información de inicio de sesión.
En general, alrededor de dos tercios de los tipos de acceso puestos a la venta en la Dark Web son cuentas RDP y VPN que permiten conexiones directas a las redes de las víctimas, según “Informe sobre delitos de alta tecnología” del Grupo IB. El acceso a Citrix, varios paneles web (como sistemas de gestión de contenidos o soluciones en la nube) y shells web en servidores comprometidos son menos comunes. Las credenciales de correo electrónico filtradas o los registros de los ladrones de información también son muy populares, están muy disponibles y son baratos.
Los operadores de ransomware utilizan la Dark Web para comprar credenciales para penetrar en las redes específicas. Group-IB descubrió que las ofertas de acceso inicial se duplicaron con creces entre 2021 y 2022, mientras que el número de IAB aumentó casi un 50%. Los precios del acceso corporativo pueden comenzar desde unos pocos dólares y llegar hasta cientos de miles de dólares para objetivos de alto valor.
La proliferación de credenciales del mercado oscuro plantea un gran riesgo para las organizaciones intersectoriales de todo el mundo. Ya sea que las amenazas provengan de piratas informáticos individuales de bajo rango o de operaciones de delitos cibernéticos altamente calificadas, las organizaciones deben reforzar sus protecciones de acceso.
Descubriendo la amenaza de las credenciales robadas
Los IAB y sus afiliados de RaaS solo necesitan un punto de entrada a cada organización objetivo para iniciar sus ataques, y esto les otorga una clara ventaja. Cualquier empleado puede, sin saberlo, proporcionar a estos actores de amenazas el acceso que necesitan, ya sea a través de estafas de phishing, implementación de robo de información u otros medios. En algunos casos, los actores de amenazas pueden obtener acceso a la computadora personal de un empleado, en lugar de a una estación de trabajo de oficina, y utilizarla para ingresar a la red de la empresa. Esto hace que mitigar la amenaza sea un desafío muy difícil. Pero hay medidas efectivas que una organización puede tomar.
Hemos observado docenas de incidentes de ransomware en los que la causa principal del ataque fue el robo de credenciales de acceso. Sin embargo, en una gran parte de estos incidentes, nuestro equipo de inteligencia de amenazas detectó algunas de estas credenciales filtradas al monitorear canales de redes sociales, foros de la Dark Web y mercados clandestinos.
En uno de esos incidentes, un cliente fue víctima de un ataque de extorsión por parte de uno de los grupos de ransomware más importantes. Al iniciar la investigación, nuestro equipo de inteligencia de amenazas identificó una consulta de las credenciales de la víctima en un canal malicioso de Telegram en el que los actores pueden solicitar datos filtrados y obtener respuestas inmediatamente a través de un bot. Más tarde descubrimos que la primera evidencia del acceso del atacante a esa red se identificó sólo unos días después de que se presentó la solicitud.
En otro incidente también relacionado con un ataque de ransomware, nuestro equipo de inteligencia contra amenazas detectó un par de registros de robo de información ofrecidos en el mercado ruso que contenían inicios de sesión de los activos de la víctima. Una vez que el equipo compró estos registros y los analizó, extrajeron las credenciales filtradas que pertenecían a un empleado de un proveedor externo, que más tarde el equipo de respuesta a incidentes descubrió que era la causa principal del acceso inicial.
Mitigar el peligro de las credenciales comprometidas
La detección temprana de estos datos de acceso podría haber evitado al menos algunos de estos ataques, si esas credenciales filtradas se hubieran descubierto y neutralizado rápidamente. Se encuentran disponibles algunas contramedidas para mitigar los compromisos de credenciales, comenzando con pasos que han demostrado proteger contra el uso indebido de las identidades de red:
-
Requerir autenticación multifactor (MFA) en toda la empresa. Mitigue los riesgos de fatiga de MFA agregando contexto a las notificaciones automáticas, solicitando un código u ofreciendo métodos alternativos, como TOTP (contraseña de un solo uso basada en el tiempo) o Fast Identity Online (FIDO).
-
Permita el acceso a servicios corporativos solo desde redes o puntos finales administrados por la empresa.
-
Guíe a los empleados para que eviten reutilizar contraseñas personales para cuentas corporativas. Considere proporcionarles una bóveda de contraseñas empresariales para ayudarles a administrar las contraseñas.
-
Aprovisionar y detectar anomalías en los intentos de inicio de sesión en los activos corporativos. Esto se puede lograr aprovechando las funciones integradas de los proveedores de identidad, como Microsoft Entra ID y Okta.
-
Se recomienda encarecidamente implementar SSO. Los proveedores de SSO normalmente tendrán más capacidades de seguridad, aunque no necesariamente están ligadas al riesgo de filtración de credenciales.
Las organizaciones también deben monitorear continuamente la Dark Web y la Open Web en busca de credenciales de empleados filtradas, así como las de socios comerciales cuyo acceso podría aprovecharse a través de conectividad de terceros y activos compartidos. También deben buscar indicios de registros de ladrones de información robados de credenciales comprometidas y datos que involucren a empleados o socios comerciales.
Cuando las organizaciones encuentran credenciales a la venta, pueden cambiarlas para que los IAB ya no puedan utilizarlas para acceder. Si las credenciales no se pueden cambiar, las organizaciones pueden al menos detectar intentos de acceso y bloquearlos.
Los IAB están permitiendo el crecimiento del ransomware al encargarse del primer paso de un ataque: obtener acceso. Las organizaciones que toman medidas para proteger las identidades de sus usuarios pueden evitar que los IAB tengan éxito en estos ataques.
Fuente Original darkreading
