initial access broker

Initial Access Brokers, la nuova minaccia fa capolino nel settore della cybersecurity

Nuove figure di criminali informatici minacciano il mondo cyber.
Si tratta degli Initial access broker e della loro natura si conosce ancora troppo poco: sappiamo che si stanno muovendo in fretta.
Oggi ve ne parliamo noi.

Con il passare degli anni le tecnologie nel campo dell’informatica si sono evolute sempre di più. Di pari passo, sappiamo che l’evoluzione non sempre viene sfruttata per fini legali. In particolar modo, il 2020 ha costituito per il panorama delle minacce informatiche un anno di svolta, complici i cambiamenti improvvisi nelle strutture di rete e il cambio repentino di approccio alla tecnologia.

Analizzando il comparto del crimine informatico possiamo constatare che ha raggiunto numeri davvero preoccupanti dando spazio alla nascita di nuove figure: nello specifico gli initial access broker.

Questa speciale categoria di hacker informatici nasce con lo scopo di trarre profitto dalla sottrazione delle informazioni industriali; in particolare, gli IAB (o initial access broker) traggono vantaggi economici dalla vendita di accessi ai sistemi informatici.

Ma vogliamo farvi avere un quadro completo delle loro attività ed è bene che sappiate per quale motivo queste figure sono così pericolose.

Indice argomenti articolo Initial Access Brokers

initial access broker image

Initial access broker: chi sono?

Si tratta di una nuova tipologia di hacker specializzati nella vendita degli accessi ai sistemi informatici delle aziende.
Sono degli analisti puri, pubblicizzano i loro servizi su forum e mercati deep

Gli Initial Access Broker (o anche detti IAB o broker per l’accesso iniziale) sono specifici hacker che forniscono al comparto della criminalità informatica l’accesso ai sistemi informatici delle aziende. Sostanzialmente la figura dell’IAB è un intermediario che si interpone tra l’azienda vittima e l’organizzazione di hacker che organizza e indirizza gli attacchi.

L’IAB hacker lavora alla costante ricerca di aziende dai sistemi informatici vulnerabili. Trovata la vulnerabilità sfruttabile, l’hacker tenterà l’accesso al sistema e verificherà la portata dei dati a disposizione: più importante sarà la tipologia di dati rilevati maggiore sarà il valore dell’informazione. Accertata la portata dell’accesso, l’hacker rivende l’informazione sulle piattaforme deep (in particolare nei forum) in attesa del miglior offerente.

Questo fenomeno e la crescente presenza di hacker specializzati nella mansione hanno richiesto un’analisi ad hoc da parte di CrowdStrike, una società mondiale leader nel monitoraggio delle minacce informatiche. Durante l’analisi di eCrime index, la crescita di Initial Access Broker ha destato l’interesse di tutti gli analisti.

Initial access broker: gli effetti della pandemia

Quello che è certo è che il 2021 ha determinato un oggettivo incremento delle connessioni al mondo web spingendo le figure degli IAB a crescere di numero e di competenze.

Volete sapere perché?

Partiamo dal presupposto che con l’arrivo della pandemia sono aumentate, per non dire triplicate, il numero di aziende che si sono approcciate per la prima volta allo smart working. La corsa al telelavoro si è dimostrata frettolosa e spesso superficiale da parte di molte aziende. Ecco che questo ha generato un’espansione della superficie attaccabile e il sorgere di nuove vulnerabilità nei sistemi.

  • Servizi pubblicati online senza protezione
  • Connessioni remote non adeguatamente schermate
  • Dispositivi di lavoro da remoto improvvisati
  • Sistemi informatici implementati e configurati in breve tempo.

Questo e molto altro ha generato una quantità stratosferica di errori e di punti deboli nelle aziende. Il risultato è presto detto, sono centuplicati gli attacchi informatici sia verso privati che verso gli ambienti di lavoro: phishing, ransomware e attacchi web-based.
La riconfigurazione senza controllo dei sistemi informatici aziendali ha costituito un’esca appetibile per lo sviluppo di questa nuova figura: gli IAB.
Più un’infrastruttura è vasta e mal configurata più il loro lavoro viene facilitato.

A sfruttare questa situazione di forte precarietà informatica si sono aggiunti gli Initial Access Broker. Sono gruppi di attaccanti che hanno lo scopo di danneggiare i sistemi informatici o trarne dei vantaggi economici.

Niente di diverso direte voi. Al contrario, non è così.

hacker IAB

Fonte grafico: digitalshadows.com
Titolo: I Paesi più colpiti dei IAB

Quali sono i compiti di un Initial access broker

Ecco gli strumenti utilizzati per violare le reti delle aziende vittime

In seguito all’analisi del fenomeno, è stato possibile definire quali sono i modus operandi di questi criminali via web.

Partiamo dal presupposto che gli IAB sono hacker analisti: il loro compito è quello di studiare il sistema informatico e scovarne i punti deboli: si tratta di criminali con profonde conoscenze tecniche e dai raffinati modi di operare. Meno la loro attività dà nell’occhio meglio è.

Generalmente un initial access hacker non lavora per un cliente specifico ma offre i suoi servizi al miglior offerente.

Nel 2020, le tecniche di accesso più utilizzate da questi hacker (circa il 45% degli attacchi analizzati) sono:

  • sottrazione di credenziali per il protocollo di desktop remoto (RDP)
  • exploit VPN

Soprattutto in funzione alla pandemia globale e all’incremento di connessioni da remoto, questa categoria hacker ha sfruttato prettamente i protocolli di connessione da remoto per accedere ai sistemi delle vittime (ad esempio sfruttando software VPN non patchati e connessioni RDP poco sicure).

Ma non è tutto, gli IAB sfruttano anche la presenza di dispositivi in rete nei quali è presente una backdoor, dispositivi con credenziali deboli o già infettati in precedenza da altri malware oltre che ai servizi RDP esposti in rete, già citati sopra.

Come si comportano

A differenza degli hacker che scelgono di guadagnare bloccando le reti, criptando i dati e chiedendo un riscatto, i broker di accesso iniziale sono individui indipendenti: vendono l’accesso alle reti.

Dopo aver constatato la presenza di una grossa vulnerabilità in rete, l’initial access broker non la utilizza in prima persona per attaccare l’azienda ma preferisce rivendere questa informazione a terzi:

  • altri gruppi di criminali
  • aziende concorrenti.

L’obiettivo sarà quello di trarne il profitto economico più alto e far sì che il lavoro sporco venga effettuato da altri: chiunque può considerarsi un cliente tipico per un IAB.

Nessun settore può considerarsi immune a questi tipi di attacchi informatici perché chiunque fra aziende, professionisti, studi e enti possiede un sistema informatico, tutti i sistemi informatici contengono vulnerabilità (più o meno gravi) e chiunque di loro ha dati che possono interessare ad altri: know how, dati bancari, anagrafiche e dati sensibili.

I rischi connessi

Chiaramente, chiunque acquisti tutte le informazioni relative al risultato di lavoro di un IAB acquisisce di default l’ingresso diretto al sistema informatico di un’azienda o ad alcuni dei suoi dispositivi (pc, server, NAS e ogni genere di dispositivo sensibile).

Da quel momento in poi, l’acquirente potrà attaccare l’azienda vittima in qualunque momento con qualunque minaccia (la favorita sarà il ransomware).

Come difendersi da un Initial Access Broker

Aziende e infrastrutture deboli: la miglior protezione è il monitoraggio delle vulnerabilità

Considerato che l’obiettivo di un IAB è scovare le vulnerabilità di un sistema informatico e sfruttarle per entrarvi, il consiglio migliore che un’azienda cybersecurity può darvi è quello di risolvere il problema alla fonte: affidatevi ai servizi di monitoraggio delle vulnerabilità e proteggete le vostre tecnologie, anche in smart working.

Richiedete un Vulnerability Assessment.

Infatti, per mantenere costantemente sotto controllo la sicurezza dei sistemi è bene:

  • impostare sempre password sicure
  • avere sempre dispositivi, software e sistemi aggiornati
  • applicare il costante monitoraggio delle policy di sicurezza

Tutto questo e molto altro può salvare la vostra azienda dal rischio di essere nel mirino di un Initial access broker.
Per riuscire a spezzare l’azione degli hacker intermediari che forniscono l’accesso a vaste ai sistemi compromessi serve necessariamente la presenza di professionisti costantemente attivi e aggiornati.
La protezione fai da te all’interno di un’azienda rischia di disperdere risorse aziendali (tempo e denaro) e di non portare alcun beneficio alla sicurezza perimetrale.

Cyberment Srl – cyber security consultancy

Cyberment è un’azienda specializzata in consulenza di sicurezza informatica.

Il nostro team di specialisti cyber security vanta un’esperienza decennale nel settore e ci occupiamo di identificare le vulnerabilità informatiche nei sistemi informatici e nelle applicazioni web.

Cyberment ha 3 sedi dalle quali studia con costanza l’evoluzione delle minacce informatiche: Milano, Mantova e Londra. Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci e parlaci dei problemi della tua azienda.