Cibercriminales IAB venden accesos Dark Web |WatchGuard Blog

Five cybercriminal entities sell access to 2,300 corporate networks

No es posible hablar de un ciberataque exitoso sin el acceso previo a la red de la empresa objetivo. Existe un grupo de ciberdelincuentes que se encarga de realizar este primer paso y hacer que entrar a las redes corporativas sea más fácil que nunca. Son llamados: intermediarios de acceso inicial (IAB).

Una noticia reciente, precisaba que solo cinco entidades cibercriminales son responsables de alrededor del 25% de todas las ofertas de acceso a redes empresariales disponibles para la venta en foros clandestinos, durante la segunda mitad de 2021 y la primera mitad de 2022. Estos intermediarios de acceso inicial (IAB) facilitan detalles de cuentas VPN y de protocolo de escritorio remoto (RDP) robados, así como otras credenciales que los delincuentes podían utilizar para entrar en las redes de más de 2.300 organizaciones de todo el mundo, sin esfuerzo alguno. El precio medio de estos accesos ronda los 2.800 dólares.

Es importante destacar que estos operadores son los líderes de un mercado mucho mayor y que está en rápido crecimiento.

¿Cómo funciona el mercado clandestino de accesos?

Los IAB acceden a los sistemas robando credenciales de red a terceros utilizando tácticas de ingeniería social, como el phishing, explotando vulnerabilidades de software sin parches, instalando malware localmente tras acceder físicamente a una organización a través de algo parecido a un tailgating o mediante ataques de fuerza bruta o de pulverización de contraseñas. Y, por lo general, ofrecen alguno de los siguientes tipos de acceso:

Directorio Activo (AD)
Redes privadas virtuales (VPN)
Credenciales de usuario root
Acceso Web Shell
Monitorización y gestión remota (RMM)
Protocolo de escritorio remoto (RDP)
Paneles de control

El coste de este servicio varía, mayormente, por el tipo de organización de la que se ofrece el acceso. Los factores que influyen en la fijación del precio son: el sector, tamaño, número de empleados y los ingresos anuales de la compañía. Asimismo, se toma en consideración el nivel de vulnerabilidad de la empresa, lo que quiere decir, el tiempo y recursos empleados para obtener ese acceso inicial, así como el tipo de acceso que se vende.

Según el artículo de Dark Reading, el 70% de los tipos de acceso listados por los IAB eran detalles de cuentas RDP y VPN. El 47% de las ofertas implicaban acceso con derechos de administrador en la red comprometida. Del mismo modo, el 28% de los anuncios que especificaban el tipo de derechos, implicaban derechos de administración de dominio, el 23% tenían derechos de uso estándar y una pequeña fracción proporcionaba acceso a cuentas root.

En los foros clandestinos, donde los IAB ponen a la venta los accesos obtenidos, los mensajes suelen ser detallados y proporcionan a los posibles compradores información sobre la víctima, el método empleado para conseguir el acceso, qué puede ofrecer este acceso a un cibercriminal interesado y mucho más.

¿Cómo evitar ser víctima del mercado de acceso como servicio?

Protegerse de este grupo de cibercriminales como servicio requiere de una seguridad consolidada capaz de blindar la red de la organización y de parchear cualquier agujero que pueda tener. Para ello, el uso de dos soluciones es fundamental: la autenticación multifactor (MFA) y la protección en el endpoint.

Autenticación multifactor (MFA)

Los atacantes suelen buscar de forma activa sistemas que dependan de la forma tradicional de autenticación: usuario y contraseña. Un método que hoy en día no proporciona ninguna protección. Para mitigar esta vulnerabilidad debe imponerse el uso de la autenticación multifactor. Si el acceso a una red requiere una forma adicional de autenticación, las credenciales de usuario robadas pierden su eficacia.

Es importante introducir esta capa de protección en los accesos remotos a la red, a las conexiones VPN, al correo electrónico y a los accesos administrativos.

La solución de Autenticación de factor múltiple de WatchGuard, además de permitir que los usuarios se autentiquen directamente desde su propio teléfono, ofrece una protección adicional utilizando el ADN de dispositivos móviles que verifica si la autorización proviene del teléfono del usuario autorizado.

Protección en el endpoint

La protección RDP, incluida en el servicio de Threat Hunting que está integrado en la solución WatchGuard EPDR, evita que los hackers puedan robar las credenciales en servidores RDP al detectar los ataques de fuerza bruta e impedir las comunicaciones desde servidores externos implicados en este tipo de ataque. La mejor defensa es detener el ataque en fases tempranas y, por esta razón, recomendamos en todo momento activar la protección RDP.

La supervisión continua de los endpoints impide la ejecución de procesos desconocidos, además de permitir el análisis de comportamiento que puede dejar en evidencia a los criminales que hayan obtenido acceso, protegiendo así contra amenazas avanzadas persistentes (APT), malware de día cero, ransomware, suplantación de identidad, rootkits, vulnerabilidades en la memoria y ataques sin malware.

WatchGuard EPDR no solo combina la protección de endpoints (EPP) y de detección y respuesta (EDR), sino que ofrece el módulo de gestión de vulnerabilidades que descubre e implementa los parches necesarios para proteger la organización. Esto es de suma importancia, ya que las vulnerabilidades suelen ser de las vías de entrada más utilizadas por los criminales.

WatchGuard EPDR también incluye la tecnología de anti-exploit que protege ante el robo de credenciales y previene los movimientos laterales de los hackers que usan credenciales robadas, con lo que se convierte en un complemento ideal para Patch Management.

En nuestro blog “¿Por qué la seguridad en el endpoint y la MFA deben ir siempre de la mano?” exponemos otras razones por las que estas soluciones deben utilizarse en conjunto para proteger a las empresas contra amenazas avanzadas.