Hackers afirmam ter violado a rede de uma grande casa de leilões e oferecem acesso a quem estivesse disposto a pagar US$ 120.000.
Pesquisadores de segurança encontraram o anúncio em um fórum de hackers conhecido por fornecer um mercado para corretores de acesso inicial (IABs) após analisarem uma amostra de 72 postagens.
Pesquisadores da empresa de inteligência de ameaças Flare analisaram três meses de ofertas de IABs no fórum hacker de língua russa Exploit para entender melhor quem eles miram, seus preços pedidos e quem são os mais ativos.
De 1º de maio a 27 de julho, os corretores anunciaram acesso a mais de 100 empresas de 18 indústrias, incluindo defesa, telecomunicações, saúde e serviços financeiros.
Eric Clay, vice-presidente de marketing da Flare, diz em um relatório compartilhado com o BleepingComputer que os ataques a empresas nos EUA, Austrália e Reino Unido foram os mais comuns - não é surpreendente, dado o seu alto produto interno bruto (PIB).
Organizações dos setores financeiro e de varejo foram as mais visadas, seguidas por construção e manufatura, observa Clay no relatório.
Dependendo do perfil da empresa e do país, os preços começavam em US$ 150 e a maioria deles era para acesso inicial através de VPN ou RDP.
Cerca de um terço dos anúncios eram inferiores a US$ 1.000.
No entanto, o item mais caro à venda era de US$ 120.000 (BTC 4 na época) para acesso à rede de uma casa de leilões de vários bilhões de dólares.
Os hackers não forneceram muitos detalhes, mas disseram que tinham acesso privilegiado a vários leilões de alto nível (ou seja, painel de administração), como violinos Stradivarius ou carros colecionáveis.
Muitas outras ofertas caras eram para acesso inicial a empresas nos EUA e Reino Unido, ofertas de acesso inicial eram para organizações de infraestrutura crítica como saúde, serviços financeiros e manufatura.
A maioria das postagens mencionou a geografia da vítima e os pesquisadores conseguiram criar um mapa mostrando 35 entidades supostamente hackeadas fora dos EUA.
IABs no fórum Exploit ainda evitam alvos na Rússia e nos Estados membros da Comunidade dos Estados Independentes (CEI), mas uma surpresa é o pequeno número na China, que tem o segundo maior PIB do mundo.
Clay disse ao BleepingComputer que, embora os IABs geralmente evitem mirar a China, havia uma listagem para acesso à rede de uma empresa chinesa de inteligência artificial.
O tipo mais frequente de acesso visto nas postagens foi por meio do RDP (visto em 32 postagens) ou VPN (visto em 11 postagens), que juntos representaram 60% dos anúncios no conjunto de dados.
O nível de privilégios associados às contas de acesso variava de administrador de nuvem (14 casos) a administrador local (5 casos) e usuário de domínio (2 casos).
A título de nota, Clay disse ao BleepingComputer que um corretor ofereceu "acesso privilegiado a uma estação de rádio dos EUA", que, segundo os hackers, poderia ser usada para "veicular anúncios".
Alguns IABs anunciaram acesso aos sistemas de backup e recuperação juntamente com o acesso à rede de TI corporativa, que poderia atender às operações de ransomware.
Normalmente, o acesso às redes corporativas vem de malware de roubo de informações, mas alguns atores declararam claramente que usaram um método diferente, provavelmente algum outro tipo de malware, phishing ou explorando uma vulnerabilidade.
Independentemente do método utilizado pelos corretores de acesso inicial para obter acesso a uma rede, as empresas deveriam pelo menos implementar mecanismos de monitoramento para malware de roubo de informações, uma fonte regular de credenciais corporativas.
Monitorar fóruns onde os corretores de acesso inicial anunciam suas ofertas também pode ajudar as organizações a ter uma ideia de possível comprometimento, mesmo que o nome da vítima seja anonimizado.
A combinação de dados como geografia, receita, indústria e o tipo de acesso são pistas suficientes para iniciar uma investigação sobre uma possível violação.
Este processo também pode ter efeitos colaterais positivos, como descobrir áreas que precisam de maior segurança ou identificar dispositivos, serviços e contas que podem representar um risco.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...