Cyberint, società di Check Point, presenta il report sull’operato degli Initial Access Broker (IAB), attori delle minacce che si infiltrano in reti, sistemi o organizzazioni e vendono questo accesso non autorizzato ad altri attori malintenzionati. Nei primi 10 Paesi, il numero di accessi in vendita è aumentato del 90%, indicando che gli attori delle minacce si stanno concentrando su Paesi specifici, piuttosto che distribuire gli obiettivi geografici. Ciò potrebbe essere dovuto a una serie di ragioni, dall’aver preso di mira i Paesi con un potenziale economico più elevato all’aver puntato a Paesi con dati più preziosi.
Il Rapporto, basato sui dati raccolti dal team di ricerca di Cyberint negli ultimi due anni e mezzo sui principali forum del dark web (in particolare Ramp, Breach, XSS ed Exploit Forum), evidenzia che gli Stati Uniti sono stati il primo obiettivo degli IAB nel 2023, con oltre il 31% degli attacchi rivolti al Paese, mentre nel 2024 sono stati presi sempre più di mira Francia e Brasile.
Gli Initial Access Broker (IAB) sono attori delle minacce che si infiltrano in reti, sistemi o organizzazioni e vendono questo accesso non autorizzato ad altri attori malintenzionati. Invece di eseguire l’intero attacco informatico, gli IAB si concentrano sulla violazione iniziale e la monetizzano vendendo l’accesso ai sistemi compromessi. Assistono le operazioni di ransomware, in particolare gli schemi RaaS (Ransomware as a Service), semplificando gli attacchi e riducendo il carico di lavoro iniziale.
Il settore dei servizi alle imprese è quello più frequentemente preso di mira dagli IAB, che minacciano anche altri ambiti in linea con i trend dei ransomware. Il settore della vendita al dettaglio risulta essere nella top 3 sia nel 2023 che nel 2024, mentre il settore manifatturiero ha visto crescere gli attacchi nel corso del 2024, entrando tra i primi 3 solamente l’anno scorso. In generale si rileva, inoltre, che il numero di aziende prese di mira dagli IAB è cresciuto.
Nel 2024, si è rilevato uno spostamento degli attacchi verso le organizzazioni più piccole, forse a causa di una percezione di difese più deboli, che ha fatto scendere il fatturato medio a $1,28 miliardi nel 2024 da $1,38 miliardi nel 2023. Gli attori delle minacce hanno preso di mira sempre più spesso organizzazioni con un valore compreso tra 5 e 50 milioni di dollari, costituendo il 60,5% di tutti i rilevamenti di accesso iniziale in vendita.
Esistono tre tipi principali di IAB che guidano la maggior parte degli attacchi ransomware. Nel 2023, quelli che offrivano la compromissione dei server tramite Remote Desktop Protocol (RDP) esposto erano i più comuni (>60%). Nel 2024, l’accesso VPN è aumentato, sfidando l’accesso RDP per il primo posto (33% VPN contro 55% RDP).
La maggior parte degli accessi IAB rientra in una fascia di prezzo compresa tra i 500 e i 3.000 dollari per l’accesso aziendale, anche se occasionalmente compaiono inserzioni di alto valore, che superano i 10.000 dollari. La protezione contro gli IAB richiede un approccio alla sicurezza a più livelli, implementando misure sia tecniche che organizzative per ridurre al minimo le vulnerabilità.
*Nota: i dati forniti si limitano alle osservazioni provenienti da Ramp, Breach, XSS e Exploit Forum. Pur essendo fonti significative, non rappresentano un quadro completo di tutte le attività di minaccia.
