Chi sono gli Initial Access Broker?

Gli Initial Access Broker (IAB) sono attori del cybercrimine specializzati nella rivendita di accessi compromessi a reti aziendali. Questi individui o gruppi sono diventati figure centrali nel panorama del cybercrime, rappresentando una delle attività più redditizie del settore. Gli IAB sono figure esperte nell’individuare e nell’ottenere l’accesso a reti aziendali, accessi che successivamente rivendono ad altri criminali informatici, come i gruppi di ransomware.

Il loro intento non è quello di sferrare l’attacco finale, ma di mantenere l’accesso alla rete compromessa il più a lungo possibile, con i migliori privilegi, in modo da poter rivendere un accesso anche più volte e permette ai gruppi ransomware di lanciare attacchi su larga scala, massimizzando le probabilità di riuscita.

La rivendita avviene su forum specializzati nel dark web o su canali Telegram, gli accessi possono essere acquistati tramite aste o con contrattazioni dirette.

Il prezzo di vendita degli accessi varia mediamente tra 1.000 e 3.000 dollari, ma può raggiungere cifre molto più alte quando questi accessi riguardano aziende o fornitori di aziende appartenenti a settori critici. Secondo uno studio di Flare del 2023 gli accessi appartenenti ad aziende di paesi NATO sono mediamente più costosi e richiesti. Il cybercrime è strutturato in modo sempre più capillare e organizzato, con figure specializzate per ogni fase del processo che permettono a figure anche poco specializzate di eseguire attacchi molto impattanti.

Chi sono i soggetti più a rischio?

Gli IAB cercano principalmente:

• Sistemi vulnerabili: Infrastrutture IT non aggiornate o configurate male.
• Aziende con dati sensibili: Organizzazioni che gestiscono informazioni finanziarie o sensibili.
• Accesso privilegiato: Aziende che hanno accesso a reti di altre organizzazioni.
• Comportamenti degli utenti: Abitudini di sicurezza deboli, come l’uso di password semplici o la mancanza di formazione del personale.

Come difendersi dagli IAB?

Una delle strategie più efficaci, per difendere un’azienda da attacchi informatici, è quella di aumentare il costo e la difficoltà per i cybercriminali con l’implementazione di solide strategie di sicurezza. Oggi, il cybercrime è organizzato in modo capillare, con diverse figure specializzate che eseguono attacchi su larga scala anche senza avere competenze approfondite. Rendere più costoso e complesso il processo di violazione della propria rete, riduce l’attrattiva per i cybercriminali e diminuisce sensibilmente il rischio di subire attacchi opportunistici.

• Monitora in maniera continuativa la tua esposizione online: La maggior parte degli attacchi proviene da misconfigurazioni, vulnerabilità non sanate, dati erroneamente esposti e credenziali valide in vendita. 
• Rafforza le difese: Aggiorna e configura correttamente tutti i sistemi, implementando firewall robusti di nuova generazione, sistemi di rilevamento delle intrusioni. Segmenta la rete, assicurati di avere visibilità sui tuoi asset, applica l’autenticazione a più fattori ovunque possibile.
• Formazione continua: Educa i dipendenti sulle migliori pratiche di sicurezza in maniera continuativa, poiché il mercato del cybercrime cerca sempre nuove strade per ingannare gli utenti.
• Monitoraggio costante: valuta l’implementazione di un Security Operation Center (SOC) che monitori in maniera continuativa le tue attività di rete. I SOC non sono più appannaggio delle realtà enterprise, i SOC As A Service sono soluzioni snelle e  scalabili e non impattano sulle risorse aziendali.

La possibilità di essere attaccati è inversamente proporzionale alle azioni che si intraprendono per proteggersi. Sii consapevole di quanto il tuo business dipenda dalla tua attività online e proteggi il tuo valore con soluzioni e partner affidabili.

Digimetrica
Dal 2001 cybersecurity al servizio delle aziende
Visita il Profilo Linkedin