Initial Access Broker (IAB) sempre più centrali nell’universo Ransomware
I ransomware continuano a minacciare aziende e organizzazioni di tutto il mondo, evolvendo verso tecniche sempre più complesse, articolate ed efficaci, in grado di mettere a dura prova l’impianto di sicurezza cyber delle imprese.
Ingecom, distributore a valore aggiunto spagnolo specializzato in soluzioni di cyber security e cyber intelligence, condivide le informazioni rilevate da uno dei suoi vendor, KELA, attivo nel settore della cyber intelligence. Lo scopo del VAD è diffondere consapevolezza circa i nuovi meccanismi di infezione, così da permettere a tutte le imprese di difendersi in modo efficace.
Dallo studio di KELA emerge che oggi l’ecosistema di criminalità informatica si rivolge spesso agli Initial Access Broker (IAB) per attuare la compromissione dei sistemi target. In particolare, gli IAB sono gruppi criminali che vendono accessi alle reti aziendali, permettendo ad altri attori malevoli di concretizzare i propri piani di sottrazione di dati. Essi diventano così player fondamentali della catena di fornitura del ransomware, che sempre più spesso rientra nella fattispecie del RaaS, Ransomware as-a-service.
Italia al quinto posto tra i paesi più colpiti
Nel secondo trimestre 2022, KELA ha rilevato tra tutte le sue fonti 650 vittime di attacchi ransomware, con una leggera riduzione rispetto al periodo precedente: 216 attacchi al mese nel Q2 contro le 232 vittime del Q1. Tuttavia, il fenomeno è attivo, evolve continuamente e non consente alle imprese di abbassare la guardia. Tra i Paesi più colpiti, gli Stati Uniti occupano il gradino più alto del podio con il 35% degli attacchi seguiti da Germania, Regno Unito, Canada e Italia, gli stessi Paesi più colpiti nel primo trimestre del 2022.
L’azienda ha registrato nel Q2 un forte attività da parte dei 110 IAB rilevati: i tre principali hanno messo in vendita più di 40 accessi ognuno. Il prezzo cumulativo dei 550 annunci di accessi alla rete è di 660mila dollari. Inoltre, l’azienda fa notare i tempi brevi che intercorrono tra la vendita dell’accesso e l’esecuzione del ransomware, quantificabili in circa un mese. Talvolta, infine, gli IAB partecipano direttamente agli attacchi, trasformandosi di fatto in operatori di ransomware.
I tipi di accesso più comuni offerti dagli attori sono basati su protocolli RDP (Remote Desktop Protocol) e VPN (Virtual Private Network). Gli IAB, inoltre, compromettono le reti aziendali attraverso vari mezzi e sembra sfruttino con grande tempestività le vulnerabilità appena rilevate, attaccando rapidamente le reti non ancora protette da patch. Per questo, nonostante permanga un certo livello di rischio derivante dalle minacce zero-day, tenere traccia del rilascio delle patch di sicurezza e aggiornare prontamente i sistemi consente di ridurre in modo considerevole il rischio.
Infine, la ricerca di KELA evidenzia i settori maggiormente colpiti, ovvero la manifattura, i prodotti industriali, i servizi professionali e le costruzioni. Fanno registrare un incremento meritevole di interesse la sanità e il settore pubblico.
Per scaricare il report completo clicca QUI.
Photo by Michael Geiger on Unsplash