Check Point advierte sobre el crecimiento del mercado de ciberdelincuencia
Check Point External expone uno de los elementos más críticos, y menos comprendidos, de la economía actual de la ciberdelincuencia: los intermediarios de acceso inicial (IAB). Estos ciberdelincuentes se especializan en infiltrarse en organizaciones y vender ese acceso en foros clandestinos a grupos de ransomware, actores de estados nacionales y otras amenazas.
Los Agentes de Acceso Inicial (IAB) son actores de amenazas que se infiltran en redes, sistemas u organizaciones y venden este acceso no autorizado a otros actores maliciosos. En lugar de ejecutar el ciberataque completo, los IAB se centran en la brecha inicial y la monetizan vendiendo el acceso a los sistemas comprometidos. Facilitan las operaciones de ransomware, en particular los esquemas RaaS, optimizando los ataques y reduciendo la carga de trabajo desde el inicio.
El informe, basado en datos de Cyberint, un equipo de investigación de Check Point, recopilados durante los últimos dos años y medio en los principales foros de la dark web (en concreto, Ramp, Breach, XSS y Exploit Forums), destaca que Estados Unidos fue el principal objetivo de los IAB en 2023, con más del 31 % de los ataques dirigidos al país, mientras que en 2024, Francia y Brasil fueron objetivos cada vez más frecuentes. En los 10 países principales, el número de accesos a la venta aumentó un 90%, lo que indica que los actores de amenazas se están centrando en países específicos, en lugar de dispersar sus objetivos geográficos. Esto podría deberse a diversas razones, desde atacar países con mayor potencial económico hasta países con datos más valiosos.
Los IAB atacan a diversos sectores, siendo el de servicios empresariales el más frecuente, similar a las tendencias del ransomware. El sector minorista se ha mantenido consistentemente entre los tres primeros en 2023 y 2024, pero el sector manufacturero ha mostrado un enfoque creciente en 2024, ascendiendo gradualmente a los tres primeros puestos. La variedad de empresas objetivo también ha aumentado, con cada sector recibiendo una porción menor del pastel en 2024, y se han atacado sectores más diversos.
En 2024, se observó un cambio hacia organizaciones más pequeñas, quizás debido a la percepción de defensas más débiles, lo que redujo los ingresos promedio a $1.28 mil millones en 2024 desde $1.38 mil millones en 2023. Los actores de amenazas apuntaron cada vez más a organizaciones en el rango de $5 millones a $50 millones, lo que representa el 60,5% de todos los listados de acceso inicial para la venta.
Actualmente, existen tres tipos principales de IAB que impulsan la mayoría de los ataques de ransomware. En 2023, los que ofrecían servidores comprometidos mediante el Protocolo de Escritorio Remoto (RDP) expuesto fueron los más comunes (más del 60%). Sin embargo, en 2024, el acceso a VPN experimentó un aumento repentino, desbancando al acceso a RDP por el primer puesto (33 % VPN frente al 55 % RDP).
La mayoría de las publicaciones de IAB tienen un precio de entre $500 y $3,000 para el acceso corporativo, aunque ocasionalmente aparecen anuncios de alto valor, que superan los $10,000. La protección contra IAB requiere un enfoque de seguridad multicapa, implementando medidas técnicas y organizativas para minimizar las vulnerabilidades.
*Tenga en cuenta que los datos proporcionados se limitan a observaciones de los foros de Ramp, Breach, XSS y Exploit. Si bien estas son fuentes importantes, no representan una visión completa de toda la actividad de amenazas.