Acessos Iniciais: uma análise do mercado paralelo de credenciais

Nossos especialistas estudaram o mercado paralelo para acesso inicial às infraestruturas corporativas.

Quando a mídia relata que uma empresa está sendo atacada por ransomware, muitas pessoas imaginam que, inicialmente, hackers escrevem um malware perigoso, depois procuram uma maneira de invadir a empresa e, finalmente, criptografam seus dados confidenciais. Por causa disso, alguns empresários ainda acreditam que suas empresas não são interessantes o suficiente para que os invasores gastem tantos recursos de invasão.

Na realidade, as coisas não poderiam ser mais diferentes. Um cibercriminosos não escreve o malware sozinho, mas o aluga, e não gasta recursos em invasões – ele simplesmente vai para o mercado paralelo buscando o acesso inicial. Especialistas do nosso serviço Digital Footprint Intelligence decidiram descobrir quanto dinheiro é movimentado quando os criminosos compram e vendem acesso à infraestrutura da empresa.

Quer pagar quanto?

Então, quanto os invasores gastam ao comprar acesso à sua infraestrutura? Isso depende de muitos fatores, mas o mais significativo é a receita da sua empresa. Depois de analisar cerca de duzentos anúncios na darknet, nossos especialistas chegaram às seguintes conclusões:

  • A maior parte das ofertas são para pequenas empresas;
  • Quase a metade das ofertas de acesso custam menos de US$ 1.000;
  • São raros os casos em que os acessos são vendidos por mais de US$ 5.000;
  • O custo médio de acesso às grandes empresas varia entre US$ 2.000 e US$ 4.000.

Com certeza, dá pra dizer que são enormes somas de dinheiro. Mas os operadores de ransomware esperam colher quantias muito maiores em seus esforços de chantagem, então estão dispostos a gastar no acesso inicial. Parece ser o preço de mercado que foi estabelecido por meio de oferta e demanda orgânica e poder de compra amplamente conhecido.

O que está à venda?

Os invasores oferecem diferentes tipos de acesso. Às vezes, são informações sobre uma vulnerabilidade que podem ser exploradas para acesso. Outras vezes são credenciais para acessar o Citrix ou o painel de hospedagem do site. Mas na grande maioria dos casos (em mais de 75% dos anúncios) eles oferecem uma variante de acesso via RDP (às vezes em conjunto com uma VPN). Assim, esta opção de acesso remoto à infraestrutura da empresa deve ser tratada com maior atenção.

Onde os criminosos conseguem obter esses acessos?

Existem muitas opções para obter o acesso inicial. Às vezes, os cibercriminosos usam a maneira mais simples: mineração de senhas. Mas, na maioria das vezes, eles enviam e-mails de phishing para funcionários ou e-mails com anexos maliciosos (spywares ou, por exemplo, ladrões, que infectam dispositivos e coletam automaticamente credenciais, tokens de autorização, cookies e assim por diante). Às vezes, os invasores também exploram vulnerabilidades conhecidas no software antes que os administradores a corrijam.

Os resultados detalhados do estudo, com exemplos de anúncios reais de acesso inicial, podem ser encontrados no relatório do site Securelist.

Como se proteger?

Como na maioria das vezes o assunto da venda é o acesso remoto à infraestrutura de uma empresa via RDP, esta é a prioridade de proteção. Nossos especialistas dão as seguintes recomendações:

  • organize o acesso RDP exclusivamente por VPN;
  • use senhas fortes;
  • use Autenticação a Nível de Rede (se possível);
  • use autenticação de dois fatores para todos os serviços críticos.

Para tornar as senhas menos propensas a vazamentos por meio de phishing, também é recomendável usar soluções de segurança confiáveis com um mecanismo antiphishing, tanto nos dispositivos de funcionários quanto no nível do gateway de e-mail. E para estar no ainda mais seguro, periodicamente aumente a conscientização sobre cibersegurança de sua equipe.

Além disso, é bastante útil saber se alguém já está discutindo formas de acessar a infraestrutura da sua empresa na darknet, por isso é aconselhável monitorar essa atividade. É esse monitoramento que nosso serviço Digital Footprint Intelligence realiza.

Dicas