¿Qué son los Iabs?
Los corredores de acceso inicial (IBAB) se especializan en obtener la entrada no autorizada en sistemas informáticos y redes, luego vendiendo ese acceso a otros ciberdelincuentes. Esta división del trabajo permite que los IAB se concentren en su experiencia central: explotar vulnerabilidades a través de métodos como ingeniería social y ataques de fuerza bruta.
Al vender acceso, mitigan significativamente los riesgos asociados con la ejecución directa de ataques de ransomware u otras operaciones complejas. En cambio, capitalizan su habilidad para violar las redes, racionalizando efectivamente el proceso de ataque para sus clientes.
Este modelo de negocio permite a los IABS operar con un perfil más bajo y un riesgo reducido, al tiempo que se beneficia de sus habilidades técnicas. Operando principalmente en foros web oscuros y mercados subterráneos, IABS puede funcionar de forma independiente o como parte de organizaciones más grandes como pandillas de ransomware como servicio (RAAS).
Actúan como un vínculo crucial en el ecosistema de delitos cibernéticos, proporcionando el punto de apoyo inicial necesario para las pandillas de ransomware, los ladrones de datos y otros actores maliciosos para llevar a cabo sus operaciones. El precio de sus servicios depende del tamaño del objetivo, el nivel de acceso otorgado y el valor percibido del sistema comprometido, típicamente realizado dentro de la red oscura.
¿Por qué los IAB están ganando vapor?
La creciente prominencia de los corredores de acceso inicial (IABS) está directamente vinculado a su capacidad para racionalizar y acelerar las operaciones de ransomware, particularmente los esquemas de ransomware como servicio (RAAS). Al manejar la tarea compleja de la infiltración de red inicial, los IAB permiten que los grupos de ransomware se centren únicamente en el cifrado y la extorsión de datos, escalando efectivamente sus capacidades de ataque.
Esta eficiencia se amplifica aún más por la tendencia creciente de IBAB que trabaja directamente para los afiliados de RAAS, lo que permite ataques casi instantáneos en la adquisición de acceso, eliminando el proceso que requiere mucho tiempo para establecer un punto de apoyo.
Esta relación simbiótica beneficia a ambas partes. Los grupos RAAS ganan velocidad y eficiencia, mientras que los IBAB aseguran un flujo constante de trabajo, a menudo evitando la necesidad de publicidad pública en foros web oscuros.
Esta visibilidad reducida proporciona una capa de protección contra el escrutinio de la aplicación de la ley, ya que sus actividades están menos expuestas en comparación con las que operan en mercados abiertos. Esta combinación de mayor eficiencia operativa para los grupos de ransomware y el riesgo reducido para los IAB ha alimentado la rápida expansión e influencia de los IABS dentro del ecosistema de delitos cibernéticos.
¿Dónde se están enfocando Iabs?
En 2023, el sector de servicios comerciales era claramente la industria más específica, aunque todavía se encuentra en el top 3 en 2024 con el 13%, se está dirigiendo una propagación mucho más amplia de las industrias. Mientras que en 2023 el sector de servicios comerciales ocupó el enorme 29% de los ataques, ese número fue solo del 13% en 2024. Lo mismo es cierto para las otras industrias que muestran porcentajes disminuidos. Esto podría deberse a que los IABS en ampliar las industrias a las que están apuntando.
Como de costumbre, Estados Unidos es un objetivo principal, por su poder económico y tecnológico que hace objetivos de alto valor. En particular, Brasil y Francia aseguraron el segundo y tercer lugar respectivamente, lo que indica objetivos de alto valor en ambos países.
Para ver qué tipos de empresas se están dirigiendo con más profundidad, lea nuestra guía de IBABS aquí.
Los motivos financieros de los IBS
El mercado inicial de accesorios de acceso (IAB) demuestra una estructura de precios dinámico, que generalmente ofrece acceso corporativo entre $ 500 y $ 3,000. Mientras que 2023 vio un precio de listado promedio de $ 1,979, sesgado por objetivos ocasionales de alto valor que alcanzan decenas de miles de dólares, el precio promedio se mantuvo significativamente más bajo en $ 1,000, con una mayoría de listados por debajo de $ 3,000.
En 2024, los ciberdelincuentes se dirigen cada vez más a las víctimas más pequeñas. Si bien generalmente han bajado los precios para vender acceso a sistemas pirateados, con un 86% que cuesta menos de $ 3,000, el promedio El precio ha subido a $ 2,047. Este promedio más alto es engañoso porque algunas ventas muy caras están sesgando el número.
Como muestra el cuadro, la gran mayoría (58%) de ofertas de acceso ahora cuestan menos de $ 1,000, un gran cambio de 2023. Además, las opciones de acceso costosas son menos comunes, ahora representan solo el 7% de lo que está a la venta.
Esta reducción de precios estratégicos, junto con una disminución en los listados de alto valor, sugiere un cambio en las tácticas de IAB. Ahora se están centrando en el volumen, ofreciendo numerosos puntos de acceso de menor precio que, en conjunto, pueden producir ganancias financieras sustanciales.
A pesar de los precios individuales más bajos, la gran cantidad de puntos de acceso disponibles plantea una amenaza significativa, lo que puede causar daños generalizados y demostrando ser más lucrativo que un número menor de ventas de alto precio. Este cambio indica una evolución en el mercado de IAB, priorizando la accesibilidad y el volumen sobre las transacciones individuales de alto valor.
Para ver información detallada sobre los TTP utilizados por IABS, lea nuestra guía aquí.
¿Qué sigue para Iabs?
El aumento de los corredores de acceso inicial (IABS) está impulsado por una confluencia de factores que mejoran la eficiencia y la rentabilidad del delito cibernético. Su especialización en la infiltración de red inicial permite a los grupos de ransomware y otros actores maliciosos centrarse en etapas posteriores de ataques, racionalizar las operaciones y aumentar la escala de daños potenciales.
La creciente tendencia de la colaboración directa entre IABS y el ransomware como el servicio (RAAS) afiliados acelera aún más los plazos de ataque, creando un ecosistema ciberdenino más eficiente y peligroso.
La evolución de las estrategias de precios de IAB también revela un cambio significativo en las tácticas. Los IBI se centran cada vez más en el volumen, ofreciendo numerosos acceso a precios más bajos. Esta estrategia maximiza las posibles ganancias financieras al proporcionar una gama más amplia de vectores de ataque, haciendo que el crimen cibernético sea más accesible y potencialmente más dañino.
Este cambio, junto con la visibilidad reducida que ofrece la operación fuera de los foros web públicos oscuros, proporciona a los IAB una capa significativa de protección contra la aplicación de la ley.
Mirando hacia el futuro, podemos esperar que IABS continúe desempeñando un papel fundamental en el panorama del crimen cibernético. Su capacidad para proporcionar puntos de acceso fácilmente disponibles probablemente alimentará el crecimiento de ransomware y otros ataques con motivación financiera. La tendencia hacia ventas de acceso de alto volumen de menor precio sugiere que las organizaciones más pequeñas, que anteriormente consideran objetivos menos atractivos, enfrentarán un riesgo creciente.
Además, a medida que los IBE maduran sus tácticas y fortalecen los lazos con los afiliados de Raas, la velocidad y la eficiencia de los ataques cibernéticos continuarán aumentando. Por lo tanto, las medidas de seguridad cibernética proactiva, incluida la inteligencia de amenazas en TTP actualizados, el monitoreo continuo y la capacitación de los empleados, se volverán cada vez más críticas para mitigar la creciente amenaza que plantea los IABS.
Para obtener información detallada sobre las tácticas contemporáneas de IAB, incluidos los tipos de acceso, el uso de privilegios y las medidas de protección recomendadas, consulte la guía integral de IAB o asista a nuestra charla en la conferencia RSA de este año por Adi Bleih, investigador de seguridad titulado Brokers de acceso inicial: una inmersión profunda el 30 de abril a las 2:25 pm en HT-W09. Puede agregarlo a su horario aquí.