Initial Access Brokers (IABs), il mercato nero della rete

IABs e IAB: chi sono gli Initial Access Brokers

Inizieremo col definire gli Initial Access Brokers, che potremmo indicare come delle porte di ingresso al cybercrime moderno. Si tratta infatti di attori che mettono in atto delle minacce informatiche per ottenere accessi, i quali vengono poi rivenduti.

L’obiettivo principale di questi criminali informatici è quello di ottenere credenziali, ma anche di individuare exploit per vulnerabilità. Questi vengono poi venduti nel mercato nero della rete.

In sostanza, gli IABs non eseguono direttamente gli attacchi ransomware o simili. Si tratta di operatori che forniscono le chiavi d’accesso ai cybercriminali che intendono ordire attacchi.

Di solito, un IAB ha come acquirente i criminali informatici che intendono mettere a segno attacchi finalizzati a derubare le vittime. Non mancano, tuttavia, gli Initial Access Brokers che lavorano per realtà vicine allo Stato.

Il ruolo degli intermediari e broker nel cybercrime

Questi veri e propri intermediari agiscono fornendo dati a diverse figure operanti nel cybercrime. Gli Initial Access Brokers, infatti, lavorano con cybercriminali, gruppi ransomware, ma anche intermediari finanziari illeciti. Possono infine operare per enti statali con finalità di spionaggio.

Tra coloro che si rivolgono agli IABs più frequentemente spiccano i gruppi ransomware. In questo modo, i gruppi di cybercriminali possono focalizzarsi solamente sui dati da criptare e sulla richiesta di riscatto.

Ma, come detto, un IAB può anche lavorare per lo Stato. Giusto per fare un esempio, sembra che il gruppo UNC5174 sia in realtà un Initial Access Broker per conto del Ministero della Sicurezza di Stato della Cina.

Com’è noto, UNC5174 ha messo a segno diversi attacchi ai danni di istituti di ricerca in Stati Uniti e Sud Est Asiatico. Inoltre, ha anche colpito entità governative statunitensi e inglesi tra fine 2023 e inizio 2024.

I broker di accesso come intermediari negli attacchi ransomware

Potremmo dire che, in un certo senso, il ruolo principale degli Initial Access Brokers è quello di supporto ai gruppi ransomware.

Infatti, l’intervento di un IAB facilita di molto l’avvio di attacchi ransomware. I cybercriminali che intendono avviare una campagna ransomware, in effetti, possono ottenere un accesso preconfigurato alle reti.

In questo modo, non solo possono concentrarsi esclusivamente sull’attacco, ma possono anche accelerare i tempi.

Si viene a creare una sorta di catena di montaggio, dove ogni attore ha un ruolo predefinito. In questo modo, si aumenta l’efficienza dell’attacco, il che rende le vittime ancora più vulnerabili.

La presenza di broker di accesso che lavorano come intermediari, in sostanza, rende le campagne ransomware non solo più difficili da contrastare, ma anche più redditizie per i cybercriminali.

Data breaches, leaks e incidenti di cybersicurezza collegati agli IAB

Gli Initial Access Brokers sono inoltre degli attori con ruoli di spicco anche in caso di data breaches, leaks e incidenti di cybersicurezza. Non si limitano, dunque, al loro ruolo negli attacchi ransomware.

Infatti, una volta venduto un accesso iniziale, i cybercriminali che lo ottengono possono utilizzarlo per filtrare dati sensibili e poi portarli alla luce tramite leak.

Questo può anche aumentare la pressione sull’azienda, che verrà purtroppo portata a pagare il riscatto richiesto.

Le incursioni spesso partono da credenziali ottenute da precedenti leak. Gli IAB sfruttano questi account compromessi per ottenere nuovo accesso.

Forum dark web e canali di vendita: dove operano gli Initial Access Brokers

I canali di vendita utilizzati dagli Initial Access Brokers sono diversi. Questi intermediari del mercato nero della rete operano soprattutto in forum clandestini e sul Dark Web.

Il modus operandi è quasi sempre lo stesso. Una volta ottenuto l’accesso a reti compromesse, tale accesso viene messo all’asta.

Ovviamente, i prezzi variano anche di molto, a seconda delle caratteristiche dell’accesso stesso. È stato stimato che, per accessi base o PMI, vengono richiesti dai 500 ai 2.000 dollari.

È chiaro però che, per reti aziendali o per target prestigiosi, il prezzo aumenta.

Tecniche e vulnerabilità di sicurezza sfruttate

Per ottenere gli accessi, gli Initial Access Brokers sfruttano varie tecniche e diverse vulnerabilità di sicurezza che consentono di penetrare le difese dei dispositivi.

Tra quelle più sfruttate segnaliamo:

• vulnerabilità note: exploit su software come Citrix ADC sono stati ampiamente utilizzati da diversi IAB per ottenere accessi delle imprese;
• RDP/VPN esposti: gli Initial Access Brokers possono sfruttare credenziali rubate, sistemi non aggiornati, configurazioni sbagliate;
• web shells e RCE: ossia exploit che permettono l’esecuzione di codice remoto, web shells (una volta compromessa una parte di infrastruttura web) diventano punto di appoggio per movimenti laterali interni
• credential stuffing: in questo caso gli IABs usano credenziali rubate da leaks o data breaches, poi testate su altri sistemi.

Initial Access Brokers, come difendersi

La miglior difesa dagli Initial Access Borkers è il monitoraggio di eventuali vulnerabilità. Dato che il lavoro degli IABs è proprio quello di sfruttare le vulnerabilità per accedere ai sistemi informatici, è opportuno risolvere eventuali falle o problemi di sicurezza.

I consigli per evitare di diventare facili vittime sono quelli generali, che valgono per difendersi da qualsiasi altro attacco informatico.

Le password utilizzate devono essere sempre sicure, mentre dispositivi e software vanno costantemente aggiornati. Quanto alle aziende, infine, il fai-da-te dovrebbe essere evitato.

È necessario cioè rivolgersi a professionisti della sicurezza aggiornati ed esperti.