Os pesquisadores exploraram a aparência da vítima perfeita para os grupos de ransomware de hoje. Na segunda-feira, o grupo KELA publicou um relatório sobre listagens feitas por operadores de ransomware no submundo, incluindo solicitações de acesso – a maneira de ganhar uma posição inicial em um sistema de destino – revelando que muitos querem comprar acesso para empresas dos EUA com uma receita mínima de mais de $ 100 milhões.
O acesso inicial agora é um grande negócio. Grupos de ransomware como Blackmatter e Lockbit podem eliminar parte do trabalho braçal envolvido em um ataque cibernético comprando acesso, incluindo credenciais de trabalho ou o conhecimento de uma vulnerabilidade em um sistema corporativo.
Quando você considera que uma campanha de ransomware bem-sucedida pode resultar em pagamentos no valor de milhões de dólares, esse custo se torna irrelevante – e pode significar que os cibercriminosos podem liberar tempo para atacar mais alvos.
As descobertas da empresa de segurança cibernética, com base em observações em fóruns da dark web durante julho de 2021, sugerem que os atores da ameaça estão procurando grandes empresas dos Estados Unidos, mas os alvos canadenses, australianos e europeus também são considerados.
Os alvos russos geralmente são rejeitados imediatamente, e outros são considerados “indesejados” – incluindo aqueles localizados em países em desenvolvimento – provavelmente porque os pagamentos potenciais são baixos.
Aproximadamente metade dos operadores de ransomware irão, no entanto, rejeitar ofertas de acesso a organizações no setor de saúde e educação, independentemente do país. Em alguns casos, entidades governamentais e organizações sem fins lucrativos também estão fora da mesa.
Além disso, existem métodos preferenciais de acesso. O acesso baseado em Remote Desktop Protocol (RDP) e Virtual Private Network (VPN) é bastante popular. Especificamente, acesso a produtos desenvolvidos por empresas como Citrix, Palo Alto Networks, VMWare, Cisco e Fortinet.
“Quanto ao nível de privilégios, alguns invasores declararam que preferem direitos de administrador de domínio, embora não pareça ser crítico”, afirma o relatório.
A KELA também encontrou ofertas para painéis de e-commerce, bancos de dados inseguros e servidores Microsoft Exchange – embora possam ser mais atraentes para ladrões de dados e criminosos que tentam implantar spyware e mineradores de criptomoeda.
“Todos esses tipos de acesso são, sem dúvida, perigosos e podem permitir que os agentes da ameaça executem várias ações maliciosas, mas raramente fornecem acesso a uma rede corporativa”, observaram os pesquisadores.
Aproximadamente 40% das listagens foram criadas por jogadores no espaço Ransomware-as-a-Service (RaaS).
Os operadores de ransomware estão dispostos a pagar, em média, até US $ 100.000 por valiosos serviços de acesso inicial.
Em um estudo anterior, KELA observou outra tendência notável no espaço de ransomware: o aumento da demanda por negociadores. Os operadores RaaS estão tentando rentabilizar melhor o estágio de um ataque quando a vítima entra em contato com os operadores de ransomware para negociar um pagamento, mas como as barreiras de idioma podem causar problemas de comunicação, grupos de ransomware estão tentando garantir que novos membros da equipe possam gerenciar o inglês de conversação.
A Intel 471 também descobriu que os cibercriminosos envolvidos em golpes de Compromisso de e-mail comercial (BEC) estão tentando recrutar falantes nativos de inglês. Como os sinais de alerta de e-mail de phishing incluem erros gramaticais e ortográficos, os golpistas estão tentando evitar serem detectados no primeiro obstáculo, pagando falantes de inglês para escrever textos convincentes.
Fonte: www.zdnet.com
Posts relacionados: Como age um ransomware e como evitá-lo / Ameaças de Ransomware as a Service (RaaS) e 5 razões pelas quais estamos vendo mais ataques de ransomware do que nunca