Conoscevamo già bene gli IAB - Initial Access Brokers i quali svolgono il lavoro sporco di fornire agli operatori di ransomware un gran numero di vittime da compromettere. Ora facciamola conoscenza con un nuovo anello del sistema RaaS - Ramsomware as a Service - il Remote Access Broker (RAB).
Il RaaS ha il maggiore trend di crescita rispetto a tutti gli altri modelli di attacco, quindi attira l'interesse di tutto il cyber crime per le opportunità di facile guadagno. Per questa ragione si stanno creando le figure RAB che si focalizzano su uno solo dei task che generalmente sono performati dagli IAB: ottenere gli accessi ad una rete/server aziendale.
Cosa fanno gli RAB - Remote Access Brokers
Mentre gli IAB si occupano anche di 1) effettuare la fase di Reconnaissance, 2) di scalare i privilegi, 3) di installare eventuali tool utili all'attacco e 4) di monetizzare il tutto vendendo tali informazioni ed accessi agli affiliati, un RAB si occupa solamente di ottenere gli accessi e poi li fornisce, monetizzandoli, agli IAB.
Questo anello addizionale nella filiera del cyber crime legato al RaaS è un chiaro segno della professionalizzazione e della organizzazione a cui la criminalità informatica è arrivata. Gli RAB fungono da intermediari trovando organizzazioni vulnerabili, ottenendo i loro accessi e vendendoli al miglior offerente IAB sui forum del dark web. La loro ascesa in popolarità segue la tendenza all'abbassamento delle barriere all'ingresso nel mondo della criminalità informatica. Ottengono l'accesso ad una rete aziendale vulnerabile identificando gli obiettivi in modo indiscriminato utilizzando strumenti sia di scansione disponibili al pubblico sia tool di alto livello. Una volta che hanno messo piede all'interno della rete delle vittime e stabilito il valore dell'accesso, si rivolgono ai forum di criminali informatici per vendere gli accessi agli IAB.
Cosa fanno gli IAB - Initial Access Brokers
Possono occuparsi in prima persona dell'ottenimento degli accessi, oppure li acquistano dai RAB. Si occupano anche di scalare i privilegi e di installare eventuali tool utili all'attacco prima di rivendere il pacchetto sui forum agli affiliati.
Recentemente tendono a oscurare i reali nominativi delle aziende sotto attacco. Gli elenchi di nomi e loghi di società vengono generalmente oscurati in modo pesante per evitare il rilevamento da parte delle forze dell'ordine. Questa pratica è una testimonianza degli sviluppi della sicurezza operativa (OPSEC) tra i criminali informatici che sono sempre più consapevoli della presenza dei ricercatori di sicurezza all'interno di questi forum. Evitando di nominare la vittima e basandosi invece sulla loro dimensione, regione e settore, gli IAB possono comunque offrire ai clienti un'indicazione del potenziale obiettivo senza offrire ai team di Cyber Threat Intelligence (CTI) una facile possibilità di interrompere le loro operazioni.
All'interno di questo ecosistema RaaS in forte crescita, i RAB e gli IAB si sono affermati come un pilastro della criminalità informatica nel 2021. L'ascesa della criminalità informatica ha creato terreno fertile per gli IAB, che sono stati in grado di sfruttare la costante domanda di accessi prontamente disponibili. Nel 2021 abbiamo osservato più inserzioni IAB rispetto a qualsiasi anno prima. Il mercato IAB è stato in grado di adattarsi alle condizioni in continua evoluzione dell'ecosistema della criminalità informatica e di mantenere la continuità aziendale.
Il settore della vendita al dettaglio è stato il più preso di mira dagli IAB, il che è probabilmente esacerbato dal numero di e-commerce con scarsa sicurezza.
Nonostante la sperimentazione di nuovi metodi di accesso, gli IAB hanno utilizzato costantemente soluzioni RDP e VPN per accedere alle organizzazioni vulnerabili.
Per tali ragioni continuiamo a raccomandare CIO e IT-Manager di utilizzare strumenti e soluzioni innovative ed in grado di prevenire gli attacchi riconoscendo un attaccante e non un attacco già in fase di esecuzioni. Un esempio è DECEPTIVE BYTES (maggiori info qui) e le soluzioni ZERO TRUST.