"Todo crimen es como una cebolla: hay que cortar a través de muchas capas para ver qué esconde y por el camino hay que derramar unas cuantas lágrimas." - Carlos Ruiz Zafón
El pasado 14 de junio, estuvimos en la Criptored Cybersecurity Talks hablando sobre algo que nos encanta: Los Initial Access Brokers, actores que se dedican a la venta de accesos en el Underground (sí, todos esos protagonistas de las peores pesadillas de vuestros SOC Managers).
Estos actores se han convertido en un eslabón crítico en la cadena de compromiso para una amplia gama de ataques, incluyendo ransomware, espionaje y robo de datos.
¿Por qué son tan importantes los IABs?
Los IABs juegan un papel fundamental en el panorama Underground actual por varias razones:
Facilitan la ejecución: Al proporcionar accesos iniciales a redes y sistemas, los IABs ahorran a otros actores de la cadena tiempo y esfuerzo, reduciendo significativamente la complejidad a la hora de realizar un ataque.
Amplían el alcance: Vendiendo accesos para una amplia gama de objetivos, los IABs son los MVP para aquellos que necesiten un vector inicial de entrada fiable a empresas de todo el mundo, independientemente de su tamaño, ubicación o sector.
Proveedores de confianza para operadores de ransomware: Son a menudo proveedores clave de accesos para grupos de ransomware. Un gran porcentaje de las víctimas que veis en las noticias, se ha producido gracias a uno de estos IABs.
Cada maestrillo tiene su librillo: Cada IAB emplea su propia técnica especializada obtener sus accesos y mantener la persistencia en los sistemas comprometidos, lo que dificulta su detección por parte de los equipos de seguridad y la estandarización a la hora de investigarlos.
¿Qué "Barrios" frecuentan?
Los IABs se encuentran principalmente en comunidades del Underground especializadas en cibercrimen, donde ofrecen sus servicios a potenciales clientes. Estas comunidades se pueden clasificar en dos categorías:
Comunidades Underground:
XSS: Nuestro ojito derecho. Esta comunidad tiene una alta actividad de IABs, quienes generalmente son confiables y cumplen con ciertas normas de reputación y procedimientos. El "hub" por excelencia.
Exploit: En esta comunidad hay menos presencia de venta de acceso, justificado por la exclusividad de sus miembros, pero los que existen suelen ser vendedores reputados que vienen de otras comunidades tras una buena trayectoria. Es en Exploit donde se suelen ver las víctimas más titánicas (a.k.a. las más ruidosas de la industria).
RAMP: La actividad de IABs en RAMP es limitada, y se concentra principalmente en en unos pocos "elegidos". Suelen ser recelosos, pero muy confiables. Además, muchos de los vendedores de RAMP son proveedores de confianza para varios grupos de ransomware, pues permite las actividades relacionadas con estos grupos, siempre y cuando mantengan a sus víctimas fuera de la zona CIS (Commonwealth of Independent States).
Telegram: Algunos IABs tienen sus propias comunidades privadas en Telegram, aunque no siempre son los más reputados y confiables, a excepción de unos pocos elegidos.
Comunidades mainstream:
BreachForums: Esta comunidad ha sido la cuna de algunos IABs que lograron hacerse un buen nombre en el Underground, aunque no es la norma. Los vendedores genuinos generalmente no frecuentan este tipo de foros tan expuestos, ya que están diseñados con otras normas que no favorecen ni crean un ambiente confiable para la durabilidad del negocio de accesos.
Otros canales:
Canales de mensajería: Algunos IABs utilizan canales de mensajería instantánea como Tox o Jabber para ofrecer sus servicios, en lugar de tener una presencia tan marcada en distintos foros (lo cual también llevan a cabo, en menor medida). Estos vendedores suelen tener su agenda de contactos propia, que van aumentando a medida que localizan posibles compradores públicos, ofreciendo su catálogo libremente (quizá demasiado).
Casos excepcionales:
'Boutiques': Tenemos registros de vendedores que en algún momento han establecido sus propios negocios independientes y operaron de forma "ad-hoc", llegando incluso, a mantener servicios ocultos en forma de mercados de venta al margen de comunidades y plataformas especializadas.
No todos los IABs son iguales
El valor de los accesos que venden los IABs varía no sólo según el tipo de acceso y metadata de la víctima, también el tipo de acceso es un factor determinante. En general, se establece una jerarquía de categorías (en base a nuestra experiencia):
Tier 1: RDPs y VPNs.
Tier 2: Webshells
Tier 3: SSH
Tier 4: FTPs, DBs (MySQL, Redis, etc), Otros.
Hay actores que generan verdaderos 'Bundles', ofreciendo por ejemplo la venta de un acceso vía webshell y regalando con la compra una credencial FTP para que puedas subir tu propia shell, en caso de que no te guste la que ofrece, o incluso accesos para una base de datos lista para 'dumpear'.
A parte de establecer una jerarquía, este "ranking" es una visualización bastante coherente de los precios que se fijan para cada uno de los tipos de accesos. Estos precios (siempre en una media, aunque hay casos que pueden llegar a bastante más por razones puntuales) tienen un rango entre 800$ y 1200$ aproximados para los accesos de Tier 1 (RDPs y VPNs) en comunidades como XSS.
El Tier 2 (Webshells), tiene un precio aproximado que puede variar entre los 200$-500$, en algunos casos puede estar bastante por encima, e incluso muy por debajo de los 100$ si es un compromiso "menor". Hemos observado algún IAB muy exitoso para este tipo de accesos que empezó en Breachforums.
El Tier 3 (SSH), suele comprarse por volumen, ya que en muchas ocasiones, estos accesos no están vinculados a redes corporativas con un directorio activo, más bien, son servidores que sirven de VPS, Hosting, etc. Su precio puede rondar los 5-20$ por credencial, aunque hemos observado algún valiente que se ha lanzado por las 3 cifras.
Por último, el Tier 4 está destinado al cajón de sastre. Las credenciales para este grupo muchas veces se incluyen como "regalo" dentro de un pack mayor. Aunque también hay vendedores que se especializan en este tipo de accesos y basan su precio en la cantidad y la calidad de datos. Muchas veces trabajan buscan tipos de datos concretos para sus clientes.
Los 4 pecados capitales del IAB
Para tener éxito en este negocio, no vale con ganar reputación; debes mantenerla. En nuestra experiencia, hemos observado varios errores que clasificamos en los 4 pecados capitales del vendedor de accesos y que todo IAB debería evitar, cueste lo que cueste:
Avaricia: No inflar los precios por encima del valor de mercado. Hay unos márgenes establecidos para la mayoría de redes, basados en lo que ya comentamos anteriormente; país, sector y revenue. Los vendedores que ofrecen todo su catálogo a precio de caviar con respecto al resto de manera pública, no suelen acabar bien.
Gula: No obtener accesos de logs o stealers públicos, ya que estos suelen ser de baja calidad, poco confiables y está mal visto en general. Por supuesto, un acceso es un acceso, y si sirve como vector inicial, es bueno a ojos de un IAB. Pero pensad en las consecuencias que puede tener para un posible cliente si dicho acceso está a la vista de cualquiera con paciencia para buscar.
Soberbia: Aprender las reglas de la comunidad en la que se opera, evitando comportamientos que puedan generar desconfianza. Esto aplica principalmente a aquellos actores que migran de un foro a otro con culturas totalmente diferentes. El Underground puede parecer una jungla, pero no lo es. Existen unas normas, y deben respetarse para mantener un equilibrio dentro del caos.
Envidia: No vender el mismo acceso a varios clientes, es decir, revender, ya que esto puede afectar la exclusividad del producto y dañar seriamente la reputación del vendedor. Hay actores que se dedican a la compra-venta de accesos, y es una posición complicada si se hace pública, pues es algo que, aunque no está castigado, no suele estar bien visto.
Conclusión
En nuestra charla, hablamos de más cositas interesantes. Nos hizo especialmente gracia (¡en el buen sentido!) el concepto de "inquietantemente profundo" que utilizó una de las personas que estuvo presente, para referirse a la calidad del material que contamos.
Además, nos dieron una idea muy buena, y vamos a realizar un estudio de mercado respecto a este tema recopilando varias muestras para vosotros. Stay Updated!
Así que ya sabes, si no quieres perderte los TLP subidos de tono... ¡Pásate por uno de los eventos en los que participamos a lo largo del año y síguenos en las diferentes redes para no perderte las fechas!
Comments