▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

L'importanza degli Initial Access Broker nella catena di attacco

Trend Micro sottolinea l'importanza del monitoraggio del furto di credenziali, da cui si scatenano poi gli attacchi devastanti. C'è anche un listino prezzi degli account rubati: da 10 a 8.500 dollari.

Vulnerabilità

Le credenziali in vendita sul dark web hanno prezzi che variano da 10 dollari a 8.500 dollari, ma le quotazioni possono arrivare anche a 100.000 dollari. Le più economiche sono le credenziali per gli accessi RDP generici, le più costose sono quelle di amministratore di un'azienda. Il listo prezzi è influenzato dal tipo di accesso (singola macchina o intera rete/azienda), dal fatturato annuo dell'azienda che dev'essere colpita e dalla quantità di lavoro extra che l'acquirente deve svolgere.

Il dato emerge dalla ricerca di Trend Micro Investigating the Emerging Access-as-a-Service Market, che sposta il focus dal ransomware stesso agli elementi che permettono di scatenarlo. La ricerca si basa sull'analisi di oltre 900 elenchi di broker di accesso, da gennaio ad agosto 2021, su più forum in lingua inglese e russa. Quello dell’istruzione si è dimostrato essere il settore maggiormente preso di mira, con il 36% degli annunci pubblicitari, più del triplo rispetto al secondo e al terzo settore, ovvero manufacturing e servizi professionali, che si sono fermati all’11%.

Come sottolinea Salvatore Marcis, Technical Director di Trend Micro Italia, “i media e le aziende si sono tradizionalmente focalizzati sul payload del ransomware, ma prima dobbiamo concentrarci sulla mitigazione dell'attività di accesso iniziale".


In altre parole, bisogna contrastare l'attività di Access-as-a-Service che negli ultimi due anni ha preso sempre più piede all’interno dei mercati cybercriminali. E che ha dato vita al business degli Initial Access Broker (IBA), criminali informatici che si occupano delle attività illecite legate al furto e alla successiva rivendita delle credenziali.

In realtà, come spiega Trend Micro, non si tratta di una figura univoca e immutabile, ma di una professione che ha molte sfaccettature. Ci sono i venditori opportunisti, che si concentrano sul realizzare un rapido profitto e non dedicano tutto il loro tempo agli accessi. I broker dedicati, ossia persone qualificate che offrono accesso a una serie di aziende diverse e che forniscono i propri servizi ad affiliati e a gruppi più piccoli.

Ci sono poi dei veri e propri negozi online, che offrono credenziali RDP e VPN. In questo caso garantiscono l'accesso a una sola macchina invece che a un'intera organizzazione o rete. Però rappresentano una fonte semplice e automatizzata per acquistare un accesso, per i criminali informatici con competenze di base. Di solito dispongono di un motore di ricerca interno con le categorie merceologiche in vendita: posizione, ISP, sistema operativo, numero di porta, diritti di amministratore o nome dell'azienda.


Come detto più volte, oggi è la compravendita delle credenziali il primo anello della attack chain, quindi le indagini devono iniziare da un accesso non autorizzato o da un banale episodio di furto di credenziali. Liquidarlo come avvenimento isolato e fine a sé stesso è l'errore da non commettere, perché giorni, settimane o mesi dopo, la refurtiva consente l'accesso in rete, da lì i movimenti laterali, l'esfiltrazione di dati, l'eventuale crittografia e tutto quello che ne segue.

È per questo che Marcis sottolinea che "i team di risposta agli incidenti spesso devono indagare su due o più catene di attacchi sovrapposti, per identificare la causa principale di un attacco ransomware, e questo complica l'intero processo di reazione. I team potrebbero superare questo problema monitorando l'attività dei cosiddetti broker di accesso, che rubano e vendono gli accessi alle reti aziendali, interrompendo in questo modo la catena di approvvigionamento cybercriminale”.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 11
TPM 2.0: Il Cuore della Sicurezza nei PC Moderni
Lug 11
Accesso Sicuro, Futuro Protetto: Il Viaggio con Cisco Duo
Lug 11
Microsoft Sentinel: la piattaforma SIEM e SOAR per il soc moderno
Lug 15
Business Meeting HP | Diventa HP Extended Partner & HP Ecosystem
Lug 15
Networking on OCI: Dietro le Quinte della Rete Cloud
Lug 15
HPE TSC - Le ultime novità HPE per il tuo business a valore aggiunto
Lug 15
Cisco 360 Level Up:la transizione guidata da TD SYNNEX
Lug 16
NetApp Hybrid Cloud Associate Workshop
Lug 17
Ready Informatica Webinar | Cove Data Protection di N-able – Il tuo backup è ancorato al passato?

Ultime notizie Tutto

Patch Tuesday di luglio 2025: chiuse 137 falle, una Zero Day

Microsoft risolve 137 falle di sicurezza nel Patch Tuesday di luglio, tra cui una Zero Day su SQL Server e gravi vulnerabilità in Windows e SharePoint.

09-07-2025

AI agent e automazione no-code: la nuova era dei SOC

Agentic AI e automazione no-code: i SOC stanno cambiando faccia. Ecco come workflow intelligenti, integrazioni dinamiche e nuovi standard possono ridefinire l’incident response e il ruolo degli analisti.

09-07-2025

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1