Los intermediarios de acceso inicial (IAB) son grupos criminales que venden acceso ilegítimo a redes corporativas. Una vez que los IAB tienen acceso a una red, lo habitual es que no vayan más allá, sino que anuncien su acceso robado en los foros de la dark web, donde su precio de venta dependerá del tipo y tamaño de la empresa a la que tengan acceso y del tipo de acceso que tengan.
Según datos de Group-IB, durante este año la venta de acceso a redes corporativas se duplicó en 2022. De manera concreta dice el estudio Hi-Tech Crime Trends 2022/2023 que acaba de publicar, que entre el segundo semestre de 2021 y el primer semestre de 2022, se identificaron 380 intermediarios de acceso, de los que 327 eran nuevos. En total, publicaron más de 2.300 anuncios en foros clandestinos.
Recoge también el estudio que el precio medio de acceso se redujo a la mitad en comparación con el segundo semestre de 2020 – primer semestre de 2021; los actores de amenazas vendían principalmente acceso VPN y RDP.
Novelli, orangecake, Pirat-Networks, SubComandanteVPN y zirochka fueron los agentes de acceso inicial (IAB) clave. Sus ofertas representaron el 25 % de todo el mercado de acceso.
Se prevé que el acceso a las redes corporativas se venderá cada vez más. Dicen los investigadores de Group-IB que, a medida que surjan nuevas vulnerabilidades en las soluciones corporativas de acceso remoto, los actores de amenazas encontrarán nuevas formas de obtener acceso inicial automáticamente. Además, los pequeños intermediarios de acceso inicial pueden fusionarse en grandes grupos y comerciar directamente con grupos de ransomware.
También prevén los expertos que VPN, RDP y Citrix seguirán siendo los principales tipos de acceso vendidos en el mercado, y que los intermediarios de acceso inicial podrían abrir sus propios mercados clandestinos o comenzar a vender sus “mercancías” en los existentes.
El precio más bajo para el acceso corporativo fue de cinco dólares, mientras que el más alto alcanzó los cientos de miles de dólares. El precio medio de acceso era de unos 2.800 dólares, lo que representa más de la mitad del precio promedio en el período anterior (6.500 dólares).
Tipos de acceso
Por primera vez, los especialistas de Group-IB han recopilado información sobre los tipos y derechos de acceso que se encontraron con mayor frecuencia en los anuncios publicados por los brokers en el período sobre el que se basa el informe. Group-IB identificó un total de 1.757 ofertas con información sobre el tipo de acceso y 1.329 anuncios con información sobre privilegios.
En general, el 70 % de los tipos de acceso puestos a la venta eran cuentas RDP y VPN. El acceso a Citrix, varios paneles web (CMS, soluciones en la nube, etc.) y shells web en servidores comprometidos era menos comunes. En algunos casos, los actores de amenazas vendieron el acceso a la base de datos en tiempo real. Group-IB también encontró ofertas para lanzar cualquier carga útil que el comprador necesitara (como Cobalt Strike Beacon o una sesión de Metasploit). Los “bienes” menos comunes fueron instancias de acceso a correos corporativos pertenecientes a la alta dirección y servidores FTP y acceso web a sistemas RMM (control y gestión remota).
En el período del informe, el acceso con derechos de administrador (administradores locales en el caso de Active Directory) fue el más ofrecido: representó el 47% de todos los anuncios en los que se especificaron derechos. Le siguió el acceso con derechos de administrador de dominio (28%) y usuario estándar (23%). Los menos comunes fueron el acceso a la cuenta raíz, que es típico de los shells web (1,4 %) y los derechos de administrador empresarial en Active Directory (0,5 %).
Mercados
Además de los foros de la darkweb, los brokers trabajan en mercados clandestinos, es decir, plataformas automatizadas para vender cualquier tipo de datos. Explican los expertos de Group-IB que estos mercados ofrecen todo tipo de datos comprometidos: detalles de tarjetas de crédito y débito, acceso a cuentas de usuario, acceso RDP y SSH a computadoras, detalles de pasaportes y otra información personal perteneciente a ciudadanos de varios países, acceso a servidores y paneles de administración de sitios web, y mucho más. más.
Los mercados clandestinos más populares que venden dicha información son MagBo, Russian Market, Genesis, Orvx y Odin.
