Os serviços de corretor de acesso inicial são um mercado em expansão na dark web, com agentes de ameaças capazes de comprar uma variedade de opções a baixo custo, de acordo com um novo relatório da Rapid7.
Mais de um terço (39%) das vendas desses serviços, que fornecem aos clientes acesso a redes já comprometidas, estão agrupadas na faixa de preço de US$ 500 a US$ 1000.
O preço base médio de uma venda em todos os três fóruns de crimes cibernéticos analisados pela Rapid7 foi de pouco mais de US$ 2700. Os pesquisadores analisaram três locais proeminentes durante um período de seis meses, de 1º de julho a 31 de dezembro de 2024 – Exploit, XSS e BreachForums.
Os corretores foram observados usando a receita da organização vítima para ajudar a justificar o valor do preço pedido.
Leia agora: Corretores de acesso inicial visam empresas com receita de US$ 2 bilhões
Cerca de três quartos (71,4%) dos corretores ofereceram uma variedade de opções a cada venda, como a escolha de mais de um ponto de entrada na organização comprometida ou, em quase 10% dos casos, um pacote que inclui vários vetores de acesso inicial (IAVs) e/ou privilégios.
Os 17,5% restantes dos corretores ofereciam apenas uma única forma de acesso, sem privilégio incluído.
Os pesquisadores disseram que as descobertas demonstram que o Acesso inicial Os serviços de corretor tornaram-se baratos e fáceis de obter para agentes de ameaças de qualquer nível de habilidade.
“O trabalho pesado foi abordado pelo corretor de acesso; tudo o que o comprador disposto precisa fazer é pagar algumas centenas de dólares para obter acesso imediato a um negócio já comprometido”, escreveram os pesquisadores no relatório datado de 12 de agosto.
Comprometimento da conta: o tipo mais comum de acesso
O Rapid7 relatório descobriram que as contas comprometidas eram o vetor de acesso inicial mais frequente oferecido em todos os pacotes.
As contas VPN lideraram o caminho, aparecendo em 23,5% das vendas em todos os três fóruns. Isso foi seguido por contas de usuário de domínio (19,9%), protocolo de área de trabalho remota (16,7%) e contas de administrador de domínio (5,5%).
Os invasores que usam contas VPN compradas de um agente de acesso inicial são uma maneira eficaz de evitar a detecção em redes, pois vêm equipados com credenciais válidas, permitindo que eles se misturem ao tráfego VPN esperado.
“Essas combinações de VPN, RDP e contas de usuário de domínio/administrador podem permitir todos os tipos de exploração de rede, movimento lateral e escalada adicional para entrega de ransomware e exfiltração de dados”, comentaram os pesquisadores.
BreachForums ressurge no final de julho
Um dos fóruns de crimes cibernéticos analisados, o BreachForums, foi sujeito a várias ações de aplicação da lei nos últimos anos, incluindo remoções e prisões de indivíduos supostamente envolvidos na administração do site.
Isso inclui o prender de Conor Brian Fitzpatrick, também conhecido como ‘Pompompurin’, em março de 2023. Fitzpatrick era suspeito de ser o principal administrador da plataforma, que interrompeu temporariamente suas atividades, mas voltou a ficar online, supostamente com uma nova equipe administrativa.
Em 25 de junho de 2025, os EUA acusaram um cidadão britânico, Kai West, de crimes relacionados ao seu suposto envolvimento na operação da plataforma. Kai foi preso em fevereiro de 2025.
Por volta de 15 de abril, o site BreachForums ficou offline e houve muita especulação em torno do evento que poderia ter desencadeado a interrupção.
O site não ressurgiu oficialmente até 25 de julho, quando o administrador postou uma mensagem desafiadora declarando “é business as usual”.
O pôster mais prolífico para o BreachForums no período de seis meses analisado foi o IntelBroker, o pseudônimo usado por West. Essa conta representou 19,05% de todas as vendas no período.