Los ataques de ransomware van en aumento y para las víctimas de estos delitos es un problema costoso. Sin embargo, para los actores del otro lado, la tendencia ofrece nuevas formas de ganar dinero. Un ejemplo de esto es el papel del intermediario de acceso inicial.
Los ataques de ransomware más rentables solo se pueden llevar a cabo accediendo primero a una red segura y los ciberdelincuentes no siempre tienen la capacidad de lograrlo. En cambio, pueden comprar el acceso necesario de un corredor.
Entonces, ¿qué son los intermediarios de acceso inicial y cómo puede protegerse contra ellos?
¿Qué son los corredores de acceso inicial?
Los intermediarios de acceso inicial son actores maliciosos que brindan acceso a redes seguras a cambio de una tarifa. A menudo son piratas informáticos, pero también pueden obtener acceso a las redes mediante la ingeniería social.
Su motivación no es llevar a cabo ciberataques ellos mismos, sino vender el acceso a otra parte. Debido a la rentabilidad de ataques de ransomware
y otros ataques cibernéticos, hay muchos compradores potenciales para un producto de este tipo.Esto permite que los corredores de acceso inicial obtengan ganancias significativas a pesar de que solo juegan un papel pequeño en el ciberdelito en su conjunto.
Cómo obtienen acceso los agentes de acceso inicial
Los corredores de acceso inicial utilizan una variedad de técnicas para ingresar a redes seguras. Si una red utiliza software obsoleto, los piratas informáticos pueden acceder rápidamente. También pueden intentar averiguar las credenciales de los usuarios utilizando técnicas de fuerza bruta. como el rociado de contraseñas. O pueden intentar el phishing, o phishing selectivo, ataques contra usuarios conocidos.
¿Qué tipos de acceso venden?
Los corredores de acceso inicial venden principalmente credenciales de usuario. Una vez obtenidas, permiten a su titular acceder a una red de la misma forma que un usuario legítimo.
Las credenciales de usuario se venden principalmente para protocolos de escritorio remoto y VPN. Algunos corredores de acceso inicial también llevan la idea más allá al instalar software de administración remota en servidores comprometidos. Luego, las credenciales para ese software se venden al proporcionar un acceso conveniente.
Después de comprar las credenciales, un atacante puede buscar información valiosa, posiblemente deshabilitar funciones de seguridad y potencialmente instalar cualquier programa que desee. En otras palabras, las credenciales se pueden utilizar para iniciar una amplia gama de ciberataques.
¿Quién compra a los corredores de acceso inicial?
Los corredores de acceso inicial venden principalmente a operadores de ransomware. Venden al mejor postor y el ransomware tiende a ser la forma más rentable de usar su producto. Pero el acceso inicial también puede tener valor para otras partes. Si un servidor tiene información confidencial, se pueden comprar credenciales de usuario con el fin de obtenerla.
Los corredores de acceso inicial venden sus productos en los mercados de la web oscura. Sus páginas de productos incluyen información como el tipo de servidor, el nivel de acceso y los ingresos de la empresa a la que pertenece el servidor. Esto permite que los ciberdelincuentes intenten un tipo específico de ciberataque para encontrar fácilmente las credenciales adecuadas para ese propósito.
El precio del acceso inicial varía desde menos de cien dólares hasta muchos miles. El precio de las credenciales generalmente se basa en los ingresos de la empresa propietaria de la red.
Cómo los agentes de acceso inicial provocan un aumento en los ataques de ransomware
El ransomware no es un producto de software complicado. También está ampliamente disponible para comprar en la dark web. Muchos operadores de ransomware no son hackers expertos. Son personas comunes en posesión de una herramienta poderosa.
Por lo tanto, la capacidad de ganar dinero con ransomware no está dictada por la capacidad técnica o incluso el acceso al software. Está limitado por el hecho de que es difícil encontrar redes para llevar a cabo ataques.
Las grandes organizaciones gastan grandes cantidades de dinero asegurando sus redes exactamente para este propósito. Por lo tanto, abrirse paso requiere mucho esfuerzo y muchos intentos de infiltración resultan infructuosos.
Los corredores de acceso inicial eliminan esta barrera de entrada. Se instalan y anuncian que ya han hecho todo el trabajo duro. Por una pequeña tarifa (en comparación con las ganancias potenciales), cualquiera puede acceder a la red de una organización profesional.
Esto tiene efectos significativos en la industria del ransomware en su conjunto.
Ofrece una división eficiente del trabajo que permite que todas las partes se concentren en lo que hacen mejor. Los piratas informáticos pueden monetizar su capacidad para acceder a las redes rápidamente y los grupos de ransomware pueden centrarse exclusivamente en el lado de la extorsión.
También permite que las personas con conocimientos técnicos limitados lleven a cabo ataques sin aprender nada. El ransomware a menudo se vende con instrucciones para el usuario y atención al cliente. Los corredores de acceso inicial luego proporcionan las credenciales de usuario necesarias para beneficiarse de él.
Otro problema con los corredores de acceso inicial es que agregan otra capa a la industria del ransomware. Si se procesa al perpetrador de un ataque de ransomware, es poco probable que se procese al corredor de acceso inicial que proporcionó el acceso y viceversa. Esto hace que el enjuiciamiento y la prevención de los ataques de ransomware sean más difíciles en su conjunto.
Cómo protegerse contra los agentes de acceso inicial
Los corredores de acceso inicial no se dirigen a particulares, simplemente no es rentable hacerlo. En cambio, se dirigen a las empresas. Si está a cargo de una red potencialmente valiosa, hay muchos pasos que puede seguir para dificultar el acceso.
- Todo el software debe mantenerse actualizado con parches instalados inmediatamente después del lanzamiento. Esto evita que los actores maliciosos exploten las vulnerabilidades conocidas.
- Cualquier persona con acceso a una red debe pensar en la amenaza que representan tanto los correos electrónicos de phishing como de phishing selectivo.
- El uso de contraseñas seguras debe imponerse entre todos los usuarios. También se debe evitar que los usuarios utilicen la misma contraseña en varias cuentas.
- Se debe hacer cumplir el uso de la autenticación de múltiples factores. Si el acceso a una red requiere una forma adicional de autenticación, las credenciales de usuario robadas se vuelven ineficaces.
Los agentes de acceso inicial son una amenaza importante a tener en cuenta
Los corredores de acceso inicial son una amenaza importante que las empresas deben tener en cuenta. Una vez que obtienen acceso a una red, anuncian la oportunidad en la dark web y entregan las credenciales al mejor postor.
Esto brinda al comprador la capacidad de robar información o instalar ransomware, lo que requiere un desembolso financiero significativo para solucionarlo.
Para evitar este tipo de intrusión, es importante mantener las redes seguras actualizando el software regularmente y asegurándose de que todos los usuarios actúen de manera responsable.
Cómo los piratas informáticos utilizan nuestra propia tecnología contra nosotros
Leer siguiente
Temas relacionados
- Seguridad
- La seguridad cibernética
- Secuestro de datos
Sobre el Autor
Elliot es un escritor tecnológico independiente. Principalmente escribe sobre fintech y ciberseguridad.
Suscríbete a nuestro boletín
¡Únase a nuestro boletín para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!
Haga clic aquí para suscribirse