Con la pandemia si è assistito a quella che gli esperti hanno chiamato “la tempesta perfetta”: un aumento dei lavoratori in smartworking – e quindi la crescita di endpoint facilmente attaccabili – e l’avanzamento di modelli di commercializzazione dei ransomware.
La figura dell’Initial Access Broker ha iniziato a profilarsi proprio in questo contesto.
Si tratta di gruppi di hacker specializzati nel furto di credenziali rivendute sul dark web.
Ma in che contesto agiscono esattamente gli IAB nella cybersecurity e in quale ruolo hanno nella value chain del cybercrimine?
In questo articolo approfondiremo metodi e ambiti in cui si trovano ad agire queste nuove “professionalità” del mondo hacker.
Indice degli argomenti
Initial Access Broker: come agisce
Quella degli Initial Access Broker (IAB) può essere interpretata come una figura di intermediazione tra le potenziali vittime del cybercrime e altri hacker che intendono portare a compimento attacchi informatici a loro sfavore.
Si tratta di un vero e proprio modello di business illegale noto come Access-as-a Service, locuzione con cui si intende proprio questo meccanismo di pay-per-use di credenziali sottratte illegalmente.
Di IAB pare si sia iniziato a parlare solo a partire dal 2020, in concomitanza con lo scoppio della pandemia e la rivoluzione organizzativa del mondo del lavoro di cui è stato protagonista lo smartworking.
Sembra che, nella maggior parte dei casi, si tratti di gruppi di criminali strutturati, spesso facenti capo a veri e propri stati nazionali come Cina, Corea o Iran.
Tra gli obiettivi dell’attività di questi gruppi figurano principalmente gli attacchi a danno degli enti governativi e alle grandi corporazioni aziendali.
Il modus operandi degli Initial Access Broker consiste sostanzialmente nel:
- cercare di penetrare all’interno di un’infrastruttura IT, o rintracciandone vulnerabilità strutturali oppure mediante attacchi di phishing mirati
- esfiltrarne le credenziali di accesso
- e rivenderle al miglior offerente su marketplace illegali presenti sul dark web
Le cause che permettono al business di prosperare consistono in criticità strutturali dei sistemi presi di mira:
- dall’utilizzo della sola password come unico fattore di autenticazione
- all’impiego di credenziali deboli o non funzionanti
Un altro aspetto da non trascurare è poi il ruolo degli insider malintenzionati.
Molte ricerche condotte negli ultimi anni evidenziano il ruolo cruciale svolto da queste spie interne alle aziende.
IAB: numeri e conseguenze del fenomeno
Basti pensare che in un sondaggio effettuato dall’agenzia anglosassone Mimecast, vincitrice del World Cybersecurity Excellence Award for Email Security, l’87% delle organizzazioni intervistate ammetteva di aver subito, solo nell’ultimo anno, minacce o una fuga di notizie imputabili proprio al doppiogiochismo di un insider.
Altre indagini registrano addirittura un aumento del fenomeno di oltre il 70%.
Ciò sarebbe per la gran parte dovuto a:
- un incremento del tasso di lavoratori in smartworking, che quindi li svincola dai rigidi controlli del perimetro aziendale
- e a una sorta di meccanismo vendicativo legato alle grandi dimissioni. Si potrebbe ipotizzare che un (ex) impiegato si trasformi in insider malevolo per via di un sentimento generalizzato d’insofferenza verso il suo (ex) datore o ambiente di lavoro.
In questa particolare circostanza, saranno proprio gli IAB i primi acquirenti della catena, che rivenderanno a loro volta le credenziali ottenute grazie all’intermediazione dei dipendenti.
Un risvolto alquanto negativo in questo processo di sempre più marcata differenziazione dei ruoli è il suo crescente potenziale di specializzazione e di meccanizzazione.
Detta in altri termini: se da un lato figure come quella degli Initial Access Broker si specializzano, appunto, nel primo step di un attacco, questo darà adito ad altri hacker di affinare i propri malware e generarne sempre più sofisticati in tempi sempre più ridotti.
Insomma, con la gerarchizzazione delle professioni del cybercrimine, non solo aumenta la complessità e pericolosità delle minacce, ma anche la loro quantità.
Altre tendenze del mondo IAB riguardano le modalità di compravendita diretta degli accessi: se, infatti, dal 2020 fino al primo trimestre del 2021, si registrava un aumento costante nelle inserzioni di vendita, a partire dal secondo trimestre di quello stesso anno si è riportato un decremento del 35%.
Ciò si spiega con lo spostamento delle trattative su canali privati che permettono di eludere rilevamenti da parte delle forze dell’ordine.
Altro aspetto interessante è il fenomeno legato alla reputation: trattandosi di un business in forte espansione, molti neofiti procedono dapprima pubblicando sui forum quanti più elenchi di accesso possibile; dopodiché, una volta creatisi la propria nicchia, procederanno con le vendite di ritorno, senza dover quindi più passare attraverso canali tracciabili.
RAB e IAB, piccola nota di disambiguazione
Con l’incremento del business legato al mercato degli Access-as-a-Service anche una figura altamente specializzata come quella dell’Initial Access Broker è andata differenziandosi, dando vita così al Remote Access Broker (RAB).
Pare, infatti, che al RAB sia stata delegata soltanto l’esfiltrazione delle credenziali, mentre agli IAB abbiano cominciato a competere anche mansioni, quali:
- information gathering e reconnaissance
- décalage dei privilegi
- installazione nel sistema preso di mira di tool che possano favorire i futuri attacchi ransomware
L’email phishing: principale veicolo d’intrusione degli IAB
Sebbene i vettori d’intrusione in una rete aziendale siano molteplici, pare che il canale prediletto dagli IAB siano proprio le e-mail e gli stratagemmi di ingegneria sociale.
La combinazione delle due tecniche si traduce immediatamente in attacchi di phishing come vettore di infiltrazione che, in seguito, permetteranno di andare alla ricerca delle tanto agognate falle nella sicurezza.
Gli analisti di Google TAG (Threat Analysis Group) hanno, per l’appunto, evidenziato cha, al culmine dell’attività di spear phishing messa in atto da un’organizzazione di IAB russi, si arrivava a registrare un flusso di circa 5000 e-mail fraudolente al giorno dirette verso più di 650 aziende diverse.
Come si può constatare, i numeri aiutano moltissimo nel visualizzare la portata del fenomeno. E se un gruppo di cybercriminali è disposto a spendere così tanto tempo ed energie, significa che l’attività di sottrazione di dati sensibili e credenziali è quantomai redditizia.
Si stima, infatti, che gli introiti per ogni chiave d’accesso venduta da Initial Access Broker si aggirino tra i 1.000 e i 10.000 dollari.
Sembra inoltre che la stima sul prezzo delle credenziali sia determinata essenzialmente da due fattori:
- le dimensioni e la redditività dell’azienda cui sono state sottratte
- e il livello di privilegio abilitato dall’accesso
Pare infatti che, per evitare ulteriori fattori di tracciamento, gli stessi hacker abbiano affinato tecniche di sicurezza operativa (OPSEC), stando alle quali:
- i nomi delle aziende vengono opportunamente oscurati sui marketplace
- e si utilizzano le metriche poc’anzi menzionate come unico fattore di attrattività dell’annuncio
Tipologie di accesso commercializzati dagli Initial Access Broker
Il concetto di “accesso ai sistemi IT” utilizzato finora, non soddisfa appieno una reale definizione dell’attività degli IAB.
Questi, infatti, diversificano i loro obiettivi in base
-
ai vettori d’attacco utilizzati
-
ai livelli di autorizzazione concessi
-
e ai punti d’ingresso dell’infrastruttura
Visualizziamo ora una breve carrellata su quelle che sono le tipologie di accesso più redditizie messe in commercio dagli Initial Access Broker:
-
Accesso all’amministrazione di dominio
spesso accompagnato dalle chiavi dell’Active Directory (software centralizzato per la gestione di tutte le risorse del sistema IT aziendale), rappresenta la più preziosa fonte di guadagno per qualsiasi gruppo IAB. Grazie a questi, infatti, si potrà distribuire direttamente malware in tutta la rete, senza compiere ulteriori sforzi
-
Accesso ai pannelli di controllo
accessibili dal web, forniscono ingresso al web hosting su cui sono spesso preregistrate opzioni di pagamento, quindi estremi di conti e carte di credito.
Ciò offre, ovviamente, un duplice vantaggio: da un lato possesso illegale dei servizi, dall’altro possibilità di sottrarre direttamente il denaro dai conti bancari aziendali -
Accesso alla Shell web
situata all’interno di un server Web, consiste in poche righe di codice solitamente nascoste in una serie di sottocartelle e spesso accessibili soltanto a chi ha effettivamente compromesso il server e immessovi la shell. Solitamente il criminale informatico si premura anche di impostarvi una password, cosicché il controllo sia sua piena esclusiva. Il meccanismo di compravendita in questo caso consiste proprio nel nascondere la shell in un server e rivenderne l’accesso
-
Accesso al Remote Destop Protocol (RDP)
si tratta di nomi utente e password utilizzati dai lavoratori in smartworking per accedere da remoto alle risorse aziendali.
In sostanza qui gli IAB si occupano di scansionare appositi server, chiamati appunto server RDP, al fine di forzarli e accedere alle credenziali ivi contenute -
Accesso VPN
sebbene le VPN rappresentino software implementati al fine di instaurare connessioni sicure, spesso accade che per accedervi non sia contemplata un’autenticazione multifattoriale, il che ne rende particolarmente redditizio il furto di nome utente e password di riconoscimento
-
Accesso alle macchine virtuali
tra cui pare particolarmente sotto tiro VMware ESXi, un tipo di software di virtualizzazione che supporta la creazione e la gestione di macchine virtuali, separando strategicamente componente hardware e software
-
Accesso al Remote Monitoring Management (RMM)
software utilizzati dai professionisti IT per gestire le reti, in grado di offrire un elevato livello di autorizzazione a diversi device del network, rendendosi, quindi, strumenti molto appetibili per gli IAB.
Come proteggersi dall’azione degli Initial Access Broker
Analizziamo, dunque, quali possono essere le buone pratiche per la prevenzione del furto di credenziali perpetrato dagli Initial Access Broker.
-
Utilizzo di gateway RDP e VPN che supportino l’autenticazione a due fattori
-
Impostare una corretta politica di gestione delle password sicure
-
Blocco automatico di utenti che effettuino più di tre tentativi di accesso
-
Non consentire accesso remoto ad account con alti privilegi
-
Monitoraggio costante dei forum illeciti presenti sul dark web
-
Utilizzo di sistemi di rilevazione e prevenzione delle intrusioni
-
Effettuare aggiornamenti costanti
E, infine, non dimenticarsi di fare affidamento sull’intervento di esperti consulenti di cybersecurity.
Chi è Onorato Informatica?
Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001
Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.
Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.
Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.
- Autore articolo
- Ultimi articoli
Sono una studentessa magistrale in Informatica Umanistica.
Durante il percorso di studi triennale in Lettere e filosofia ho avuto l’opportunità di svolgere un anno di Servizio Civile Nazionale e un semestre di Erasmus per studio in Francia, nonché un breve periodo di Servizio Volontario Europeo in Croazia.
Attualmente, con un gruppo di altri cinque ragazzi, porto avanti un progetto che aiuta start-up e piccole realtà imprenditoriali a delineare i primi step per le loro strategie social.
