Corretores de aproximação inicial: quem são eles?
Não é sempre que conseguimos averiguar profundamente a estrutura e a organização do cibercrime, obtendo conhecimentos que vão além dos danos superficiais que testemunhamos. Nossos feeds de notícias diários geralmente incluem relatos sobre hospitais comprometidos, sistemas de transporte público interrompidos e empresas de vontade fechando. Mas quem está por trás desses ataques? Porquê eles penetram até mesmo nas redes configuradas com mais segurança? Quais são os seus objetivos? As respostas a estas questões críticas começam com os intermediários de aproximação inicial. Eles representam o ponto de partida de uma sequência de eventos que impactaram severamente inúmeras organizações.
O que é um corretor de aproximação inicial? Uma definição
Um corretor de aproximação inicial é um ator de ameaço que lucra com a venda de aproximação a credenciais de rede roubadas. No pretérito, os agentes de ameaças eram responsáveis por todos os aspectos do seu processo. Foram eles que estabeleceram uma posição segura em uma rede remota e também foram eles que a exploraram para obter ganhos financeiros. O ecossistema cibercriminoso atual tornou-se diversificado, com cada ator desempenhando um papel único. Os corretores de aproximação inicial estão na vanguarda deste processo. Depois de obterem aproximação a uma rede, eles comercializam as credenciais roubadas para grupos de ransomware que as exploram ainda mais com ataques de ransomware e roubo. O seu papel é o de intermediários que facilitam o negócio obscuro de aproximação não autorizado à rede.
Porquê os corretores de aproximação inicial obtêm ingressão?
Os corretores de aproximação inicial podem ser comparados a criminosos furtivos que verificam metodicamente porta depois porta, procurando aquelas que ficaram entreabertas ou aquelas com fechaduras defeituosas. Num paralelo do dedo, os IABs investigam um número incontável de alvos online usando ferramentas especializadas. Eles aproveitam seu conhecimento de vulnerabilidades conhecidas para encontrar possíveis alvos. Depois de violarem com sucesso uma rede segura, esses corretores de aproximação inicial compilam listas de organizações comprometidas para vender na dark web. Em origem, nossos nomes de usuário e senhas tornam-se seus principais produtos. A seguir estão as técnicas mais comuns que os corretores de aproximação inicial empregam para obter aproximação.
Reutilização de senha:
Um hábito aparentemente inofensivo, a reutilização de senhas pode ter consequências terríveis. Podemos pensar que desenvolvemos um entendimento sólido de por que senhas complexas e exclusivas são importantes, mas um relatório da Nordpass mostrou recentemente que a senha fraca número 1 era “senha”, sendo usada um totalidade de 4.929.113 vezes, seguida de perto por “123456 ”usado 1.523.537 vezes.
Depois que uma lista abrangente de nomes de usuário e senhas fracos for compilada, testada e considerada funcional, os corretores de aproximação inicial os utilizam em ataques subsequentes de preenchimento de credenciais (também conhecidos porquê ataques de força bruta). Os ataques de preenchimento de credenciais são ataques programáticos em que combinações fracas de senha/nome de usuário são testadas em milhares de computadores para deslindar computadores ou serviços onde essas combinações de nome de usuário e senha foram usadas mais de uma vez.
Hacks de e-mail:
Todos nós já ouvimos falar de e-mails de phishing e e-mails de spear phishing. É cá que os corretores de aproximação inicial enviam e-mails fraudulentos projetados para roubar nossas credenciais de e-mail. Elaboradas com precisão, suas campanhas de phishing são quase indistinguíveis de e-mails legítimos. Um único clique pode conceder-lhes aproximação ao e-mail da empresa, onde podem se passar por funcionários ou coletar informações porquê nomes de fornecedores e domínios para serem usados em ataques futuros.
Perfis VPN:
Na nossa era de trabalho remoto, as VPNs são um meio importante pelo qual as organizações mantêm uma força de trabalho diversificada conectada aos recursos e redes corporativas. Para um corretor de aproximação inicial, um perfil VPN comprometido é uma ingressão discreta no santuário interno de uma empresa. Muitas vezes a fraqueza reside no processo da vítima. Por exemplo, em 2021, o Colonial Pipeline foi violado usando uma conta VPN que não estava em uso há muito tempo, mas que não havia sido desativada.
Servidores RDP expostos:
O Remote Desktop Protocol (RDP) é uma tecnologia da Microsoft que permite aos usuários fazer login em um envolvente de espaço de trabalho remota na rede do empregador. Muitas organizações tornaram esses servidores acessíveis à Internet pública, em vez de protegê-los com firewalls e VPNs. Os servidores RDP, quando deixados desprotegidos, são uma base extremamente valiosa para vender em mercados clandestinos. O aproximação RDP é um escopo mormente valioso porque fornece aproximação a uma sessão de usuário e a um servidor ao mesmo tempo. Os cibercriminosos estão, portanto, dispostos a remunerar valores mais elevados por estas credenciais comprometidas.
Engenharia social:
Além do domínio do dedo, os corretores de aproximação inicial são mestres na manipulação, extraindo informações confidenciais dos funcionários com uma mistura de charme e miragem.
O impacto e a valia mais amplos
Porque é importante saber isso? Porque a operosidade destes indivíduos e grupos está a aumentar rapidamente. Num relatório inicial de corretores de aproximação publicado em janeiro de 2023, o número de redes corporativas à venda em fóruns clandestinos duplicou.
A violação inicial, embora alarmante, é somente a ponta do iceberg. Depois que um corretor de aproximação inicial garante o aproximação, ele abre as comportas para um dilúvio de ameaças cibernéticas – desde roubos de dados até ransomware e roubo paralisantes. As consequências da sua intrusão podem ser catastróficas. Quando o escopo manquitola é um hospital, os resultados podem até ser fatais. Porquê as informações anteriores podem ser valiosas para as empresas? Por que devemos nos preocupar com esses grupos e suas atividades?
Resguardo Proativa:
Reprofundar profundamente no mundo subterrâneo dos corretores de aproximação inicial não é somente um treino acadêmico; é uma urgência estratégica. Ao desmistificar as táticas e estratégias dos atores mal-intencionados, as organizações podem fazer a transição de uma postura reativa para uma resguardo proativa. É porquê estudar os movimentos de um rabi de xadrez; antecipando as suas estratégias, podemos combatê-las eficazmente. No mundo do dedo, isto significa atualizar continuamente os nossos protocolos de segurança cibernética, refinar os nossos sistemas de deteção de intrusões e estar sempre um passo avante. Finalmente de contas, no jogo de tá risco da resguardo cibernética, avisado é, de facto, prestes.
Implicações financeiras:
O dispêndio financeiro de uma violação cibernética vai muito além das consequências imediatas. Embora os custos directos – porquê potenciais pagamentos de resgate ou restauração do sistema – possam ser surpreendentes, as implicações financeiras a longo prazo são muitas vezes ainda mais profundas. Uma violação pode minar a crédito do cliente, levando à perda de negócios e à reputação da marca manchada. Ou por outra, as consequências envolvem frequentemente honorários advocatícios, potenciais multas regulamentares e os custos associados ao controlo de danos, tais porquê campanhas de relações públicas. Infelizmente, algumas organizações não têm força para superar estas consequências e nunca sobrevivem realmente ao evento. Leste número é medido em empregos perdidos e vidas mudadas. Ao compreender o papel dos corretores de aproximação inicial no quadro mais grande do transgressão cibernético, as empresas podem calcular melhor o seu risco financeiro e alocar recursos para proteger os seus ativos mais valiosos.
Treinamento de funcionário:
Nas camadas de segurança de TI empregadas na rede de uma organização, os funcionários geralmente desempenham duas funções. Os funcionários são a primeira risco de resguardo e potenciais pontos de vulnerabilidade. Os corretores de aproximação inicial estão perfeitamente cientes disso, e é por isso que usam táticas projetadas para explorar erros humanos, desde e-mails de phishing até esquemas de engenharia social. Ao investigar o modus operandi dos corretores de aproximação inicial, as organizações podem conciliar os seus programas de formação de funcionários para enfrentar estas ameaças específicas. Por exemplo, quando o aproximação e as credenciais do usuário devem ser redefinidos, que prova é necessária para redefinir ou obter aproximação? Capacitar os funcionários com o conhecimento, as ferramentas e a estrutura para reconhecer e impedir as táticas iniciais do corretor de aproximação não somente fortalece as defesas da organização, mas também promove uma cultura de conscientização e vigilância sobre segurança cibernética.
Proteção contra corretores de aproximação inicial
Todos reconhecemos o valor da era do dedo que cresceu ao nosso volta. Nossas informações pessoais, nosso trabalho difícil e nossas perspectivas de curso estão agora inextricavelmente ligados à tecnologia. Para agentes de ameaças, porquê corretores de aproximação inicial, essas informações são somente mais um item a ser vendido em um mercado de corretores de aproximação inicial.
O conhecimento é a nossa melhor resguardo. Ao compreender os métodos e padrões dos corretores de aproximação inicial, podemos fortalecer as nossas defesas e proteger-nos. Sessões regulares de treinamento, protocolos de autenticação rigorosos e monitoramento vigilante da rede são nossas armas nesta guerra contínua contra o mundo sombrio dos corretores de aproximação inicial.
