Los corredores de acceso inicial son el eslabón indispensable en la cadena de suministro del cibercrimen

Los intermediarios de acceso inicial: el eslabón indispensable en la cadena de suministro del cibercrimen

Este año todo apunta a ser un año récord para los grupos de ransomware. El análisis de blockchain revela que los “flujos de entrada” a direcciones de criptomonedas asociadas con delincuentes alcanzaron los 460 millones de dólares en la primera mitad de 2024, frente a los 449 millones de dólares del mismo período del año pasado. Y el pago medio de rescate para algunos de los grupos de ransomware más prolíficos ha aumentado de poco menos de 200,000 dólares a principios de 2023 a 1.5 millones de dólares a mediados de junio de 2024.

Existen muchas razones por las que los grupos de ransomware y el cibercrimen clandestino en general siguen prosperando, pero gran parte de su éxito se debe al agente de acceso inicial (IAB, por sus siglas en inglés): un actor fundamental en la cadena de suministro del cibercrimen. Encontrar una forma de mitigar sus tácticas, técnicas y procedimientos (TTP, por sus siglas en inglés) será vital si las organizaciones quieren minimizar su exposición al riesgo financiero y de reputación.

Eyes on the Prize

En un nivel muy simple, los IAB son tan importantes porque se centran en una cosa y la hacen excepcionalmente bien. Al concentrarse solo en la primera etapa de un ataque, se aíslan de las fuerzas del orden, algo que también logran al trabajar en forma privada con afiliados de ransomware como servicio (RaaS). Por otro lado, al externalizar a los IAB el trabajo que requiere mucho tiempo de seleccionar objetivos y obtener acceso a las organizaciones de las víctimas, otros cibercriminales pueden dedicar más tiempo a ampliar sus esfuerzos.

Cuando no trabajan en privado con grupos de RaaS, los IAB publican sus servicios en foros de piratería, lo que permite a los investigadores obtener una imagen mejor informada del mercado. Según un nuevo estudio, Informe de Cyberint, algunos ofrecen paquetes, mientras que otros venden el acceso individualmente, y personas muy confiables pueden requerir que los compradores se comuniquen con ellos directamente sin brindarles ninguna información.

El informe destaca tres tipos principales de IAB: los que venden acceso a:

  • Sistemas comprometidos por puertas traseras y otro malware instalado en computadoras en red
  • Servidores comprometidos mediante ataques de fuerza bruta al Protocolo de Escritorio Remoto (RDP)
  • Dispositivos de red comprometidos, como servidores VPN y firewalls, que proporcionan un trampolín hacia la red corporativa

Según Cyberint, el acceso RDP fue el más común en 2023 y representó más del 60 % de los listados de IAB. Sin embargo, en lo que va de año, el acceso RDP (41 %) se ha visto afectado por una vulnerabilidad de VPN (45 %).

Otros tipos de acceso incluyen:

  • Email: A menudo a través de credenciales comprometidas, lo que permite a los atacantes leer, enviar y manipular correos electrónicos.
  • Base de datos: Mediante credenciales robadas o explotación de vulnerabilidades
  • Webshell: Se trata de scripts que permiten a los actores de amenazas administrar o ejecutar comandos de forma remota en un servidor específico.
  • Acceso mediante shell/línea de comandos: Proporcionar una interfaz de línea de comandos a un sistema comprometido, que permite la ejecución directa de comandos
  • Recursos compartidos de archivos: Acceso a unidades compartidas y servidores de archivos, a menudo a través de credenciales comprometidas o movimiento lateral

Los IAB también pueden clasificar sus ventas por tipo de privilegio (administrador de dominio, administrador local o usuario de dominio), siendo el acceso con mayores privilegios el que cuesta más. Aunque el acceso a algunos entornos valiosos puede dar lugar a anuncios con un precio de más de 10,000 dólares, la mayoría de los anuncios de los IAB cuestan entre 500 y 2000 dólares. Esto es un indicio de la naturaleza mercantilizada del mercado. De hecho, aunque los IAB se centran cada vez más en las víctimas corporativas con altos ingresos, el precio medio de los anuncios ha caído un 60% anual hasta los 1,295 dólares, según Cyberint.

¿Los IAB irán tras su organización?

Más de una cuarta parte (27%) de los listados analizados por Cyberint en 2024 fueron para accesos a organizaciones con ingresos superiores a 1 millones de dólares. De hecho, los ingresos promedio de las víctimas en lo que va de año son de 1.9 millones de dólares. Pero eso no significa que las organizaciones más pequeñas estén exentas, según el investigador de seguridad de Cyberint, Adi Bleih.

“En la primera mitad de 2024, nuestros datos revelan que las organizaciones con ingresos inferiores a 10 millones de dólares representaban el 18.5 % de todos los listados de acceso en los principales foros clandestinos. Esto se traduce en que casi una de cada cinco organizaciones objetivo son pymes, lo que pone de relieve un riesgo significativo para este sector”, comenta a ISMS.online.

“Si analizamos de manera más amplia las empresas medianas con ingresos entre 10 y 100 millones de dólares, el 29.5 % de todas las organizaciones objetivo se encuentran dentro de este rango. Esto significa que las empresas que ganan menos de 100 millones de dólares representan el 48 % de todos los objetivos iniciales de los intermediarios de acceso”.

En otros lugares, las organizaciones estadounidenses son las que tienen más probabilidades de estar en la mira, ya que representan casi la mitad (48 %) de las listas de IAB estudiadas. Le siguen Francia, Brasil, India e Italia. Sin embargo, dado que el Reino Unido es uno de los dos principales objetivos del ransomware, hay mucho que mantiene despiertos a los CISO británicos por las noches. Según el informe, los sectores más atacados son los servicios empresariales, las finanzas, el comercio minorista, la tecnología y la fabricación. Este último aumentó del 14 % de las listas en 2023 al 23 % en lo que va de año.

Bloqueo del acceso inicial y posteriores

Aunque ninguna organización está realmente a salvo de los ataques de IAB, la buena noticia es que los propios actores de amenazas tienden a apegarse a técnicas de piratería probadas y comprobadas. Eso significa que las mejores prácticas de seguridad ayudarán a los defensores de la red a avanzar mucho en la neutralización del acceso inicial o lo que venga después. Cyberint recomienda pasos simples como la autenticación multifactor (MFA), políticas de acceso con privilegios mínimos, aplicación regular de parches, capacitación en concienciación sobre seguridad, uso restringido de RDP, detección de intrusiones (IDS), segmentación de red y monitoreo de la web oscura.

Afortunadamente, los estándares y marcos de mejores prácticas son una excelente manera de formalizar dichas prácticas.

Como un ejemplo, ISO 27001 aborda lo siguiente:

  • Control de acceso: (Anexo A.9). Ayuda a reducir la posibilidad de que los IAB se infiltren en sus redes.
  • Gestión y respuesta a incidentes: (Anexo A.16) La detección y respuesta rápidas al acceso inicial pueden ayudar a contener las infracciones antes de que puedan monetizarse.
  • Concientización y capacitación sobre seguridad: (Anexo A.7.2.2) Esto reduce la probabilidad de que los IAB obtengan acceso a través de errores humanos, como phishing o contraseñas débiles.
  • Controles de seguridad de la red: (Anexo A.13) Dividir la red en segmentos más pequeños y aislados limita la capacidad de los actores de amenazas de moverse lateralmente una vez dentro de la red.
  • Monitoreo y registro: el monitoreo y registro continuos de la actividad de la red detectan y alertan sobre cualquier intento de acceso no autorizado.
  • Configuración de firewall e IDS/IPS: una configuración adecuada ayuda a detectar y bloquear actividades de red sospechosas de manera más efectiva.
  • Gestión de parches y gestión de vulnerabilidades: (Anexo A.12.6.1) Reduce la cantidad de vulnerabilidades explotables que los IAB pueden usar para obtener acceso inicial.
  • Seguridad de la cadena de suministro: (Anexo A.15) Ayuda a evitar que los IAB obtengan acceso no autorizado a través de terceros inseguros.
  • Criptografía y protección de datos: (Anexo A.10) El cifrado de datos limitará el valor a lo que se accede después de una violación de IAB.
  • Seguridad física y ambiental: (Anexo A.11) Reduce el riesgo de que los IAB obtengan acceso inicial a través de medios físicos, como un empleado comprometido.

La norma ISO 27001 se basa en un ciclo de planificación, ejecución, verificación y actuación (PDCA, por sus siglas en inglés), que enfatiza la mejora continua del sistema de gestión de seguridad de la información (SGSI). Las auditorías internas periódicas, las revisiones de gestión y las actualizaciones de seguridad en línea con las amenazas en constante evolución mantendrán las defensas corporativas en condiciones adecuadas para su propósito a lo largo del tiempo. Los ataques de IAB son inevitables, pero las infracciones exitosas no tienen por qué serlo.

Autor

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Ver todas las publicaciones de Phil Muncaster

Artículos Relacionados

¡SOC 2 ya está aquí! ¡Refuerce su seguridad y genere confianza en sus clientes con nuestra potente solución de cumplimiento hoy mismo!