La investigación de Trend Micro destaca la importancia de asegurar las credenciales empresariales 

Trend Micro Incorporated ha publicado una nueva investigación que detalla la turbia cadena de suministro de la ciberdelincuencia que está detrás de gran parte del reciente aumento de los ataques de ransomware. La demanda ha aumentado tanto en los últimos dos años que muchos mercados de ciberdelincuentes tienen ahora sus propias secciones de «Acceso-como -servicio». 

Para leer una copia completa del informe, Acceso-como-Servicio, visita: https://www.trendmicro.com/vinfo/es/security/news/cybercrime-and-digital-threats/investigating-the-emerging-access-as-a-service-market   

«La atención de los medios de comunicación y de la ciberseguridad corporativa se ha centrado únicamente en la carga útil del ransomware, cuando debemos concentrarnos primero en mitigar la actividad de los intermediarios de acceso inicial», afirma David Sancho, investigador senior de amenazas de Trend Micro. «Los encargados de responder a los incidentes a menudo tienen que investigar dos o más cadenas de ataque superpuestas para identificar la causa raíz de un ataque de ransomware, lo que a menudo complica el proceso general de IR. Los equipos podrían adelantarse a este problema vigilando la actividad de los brokers de acceso que roban y venden el acceso a la red de la empresa, cortando esencialmente el suministro para los actores del ransomware”.  

La investigación se basa en un análisis de más de 900 listados de brokers de acceso desde enero hasta agosto de 2021 a través de múltiples foros de cibercrimen en inglés y ruso.  

El sector de la educación fue el más frecuente, con un 36% de los anuncios, más del triple que el segundo y tercer sector más atacados, el de la fabricación y el de servicios profesionales, que representan ambos un 11%. 

El informe revela tres tipos principales de brokers de acceso: 

• Vendedores oportunistas que se centran en obtener beneficios rápidos y no dedican todo su tiempo al acceso. 
• Brokers dedicados, son hackers sofisticados y capacitados que ofrecen acceso a una variedad de empresas diferentes. Sus servicios suelen ser utilizados por grupos y afiliados de ransomware más pequeños. 
• Tiendas online que ofrecen credenciales RDP y VPN. Estas tiendas dedicadas solo garantizan el acceso a una sola máquina en lugar de a toda una red u organización. Sin embargo, representan una forma simple y automatizada para que los ciberdelincuentes con habilidades más bajas adquieran acceso. Incluso pueden buscar por ubicación, ISP, sistema operativo, número de puerto, derechos de administrador o nombre de la empresa. 

La mayoría de las ofertas de los corredores de acceso implican un conjunto simple de credenciales que pueden provenir de: brechas anteriores y ruptura de hash de contraseñas; computadoras bot comprometidas; explotación de vulnerabilidades en pasarelas VPN, servidores web, etc.; o ataques oportunistas puntuales. 

Los precios varían según el tipo de acceso (una sola máquina o toda la red/corporación), los ingresos anuales de la empresa y la cantidad de trabajo adicional que debe realizar el comprador. Aunque el acceso RDP se puede obtener por tan solo 10 dólares, el precio promedio de las credenciales de administrador en una empresa es de alrededor de 8.500 dólares. Sin embargo, los precios pueden llegar hasta los 100.000 dólares. 

Trend Micro recomienda las siguientes estrategias para los defensores: 

• Monitorizar las brechas públicas 

• Activar un restablecimiento de contraseña para todos los usuarios si sospecha que se pueden violar las credenciales corporativas 

• Configurar la autenticación multifactor (MFA) 

• Supervisar el comportamiento del usuario 

• Observe la DMZ y asuma que los servicios de Internet como VPN, webmail y servidores web están bajo ataque constante. 

• Implementar segmentación y microsegmentación de la red 

• Desplegar de buenas prácticas políticas de contraseñas  

• Implementar alguna forma de arquitectura Zero Trust.