Casos de Cibercrime organizado

O que é o acesso como serviço?

A Trend Micro Research analisou uma nova oferta de serviço, chamada Access as a Service (AaaS), no subsolo do cibercrime em que os atores maliciosos vendem o acesso a redes empresariais. O serviço faz parte do conjunto de cibercrime como serviço (CaaS) que inclui muitas ofertas diferentes, tais como o ransomware como serviço (RaaS).

AaaS é composta por indivíduos e grupos que utilizam numerosos métodos para obter acesso remoto à rede de uma organização. Existem três tipos de vendedores de AaaS:

1. Actores oportunistas que tomaram consciência de uma procura e decidiram ter lucro.
2. Vendedores dedicados: o seu trabalho a tempo inteiro é ganhar e vender acesso. Até comercializam os seus serviços e aproveitam a sua extensa rede para fazer dinheiro.
3. Lojas online, que normalmente só dão acesso a uma única máquina, não a uma rede ou empresa.

Grupos especializados em obter acesso a redes e depois vendê-lo propositadamente a outros são mais preocupantes, uma vez que o seu acesso é muitas vezes robusto e assegura aos seus compradores que podem fornecer o seu serviço. Ambos os actores de AaaS podem ser problemáticos, mas este último é o grupo que dará mais problemas às organizações devido à complexidade de atribuir ao atacante inicial.

Objetivo dos AAAS

Como em todos os tipos de ciberataques, alguns sectores são mais visados do que outros. A Trend Micro Research analisou mais de 900 listas de brokers de acesso e determinou que 36% ofereciam acesso a universidades e escolas com utilizadores com idades compreendidas entre os quatro e os 16 anos, mais conhecidos como K-12. Isto não é surpreendente considerando o aumento das violações de dados no sector da educação e o facto de as escolas possuírem uma mina de ouro de informações pessoais que podem ser vendidas em mercados clandestinos.

Tendências de Cibercriminalidade

O AaaS faz parte de uma tendência em desenvolvimento do cibercrime, que é a crescente especialização dos serviços dentro do CaaS e o aumento da colaboração entre estes grupos. Vemos agora indivíduos e grupos especializados em várias partes do ciclo de vida do ataque. Isto significa que é provável que vejamos menos bugs a conduzir a deteções, e devemos esperar que vários grupos colonizem uma rede infetada. A partir de uma mentalidade de resposta a incidentes, isto significa que estes diferentes grupos terão de ser identificados como componentes específicos do ataque global, tornando mais difícil detetar e parar os ataques.

Estratégia de defesa da AAAS

• Monitorizar violações públicas e atividade criminosa em busca de ofertas de acesso à sua rede. Se vir ou suspeitar que o acesso à sua rede está a ser vendido, ative uma palavra-passe para evitar o dumping de credenciais.
• Configurar a autenticação de dois fatores (2FA) para evitar o acesso malicioso através de credenciais expostas.
• Assegurar que as equipas de resposta a incidentes (RI) compreendem o cenário multi-atacador e sabem onde concentrar os seus esforços.
• • Aplique uma abordagem Zero-Trust utilizando uma plataforma com capacidades XDR para verificar e monitorizar continuamente os utilizadores, para assegurar que apenas os que deveriam aceder à sua rede o estão a fazer. Uma plataforma ajuda a consolidar todas as atividades e dados correlacionados dos utilizadores para uma maior visibilidade.
• Tirar partido de orientações como as do Instituto Nacional de Normas e Tecnologia (NIST) e da Agência da União Europeia para a Segurança Cibernética (ENISA). Pode consultá-las aqui.

Conteúdo co-produzido pela MediaNext e pela Trend Micro