Il crimine informatico sta adottando sempre più un modello di business che lo vede come servizio, infatti, le informazioni necessarie ad organizzare un attacco sono sempre più richieste dai criminali informatici. Gli esperti di Kaspersky hanno analizzato quasi 200 post sul dark web che offrivano informazioni per l’accesso iniziale ai forum delle aziende. Il costo medio per l’accesso ai sistemi di una grande azienda varia da 2.000 a 4.000 dollari, un prezzo relativamente basso se paragonato al danno potenziale che potrebbe causare alle aziende colpite. Tali servizi sono di primario interesse per gli operatori di ransomware, i cui profitti potrebbero raggiungere addirittura 40 milioni di dollari all’anno. Questi e altri risultati sono contenuti nel nuovo report di Kaspersky “Quanto costa l’accesso alle infrastrutture aziendali?”.
Gli esperti dell’azienda hanno analizzato quasi 200 post sul Dark Web, che offrivano informazioni per l’accesso iniziale ai forum delle aziende, con l’intento di definire i principali tipi di dati aziendali venduti, nonché i criteri utilizzati dai criminali informatici per valutare il prezzo dei dati di un’organizzazione. La maggior parte dei post (75%) vendeva l’accesso RDP (Remote Desktop). Si tratta di un sistema che fornisce l’accesso a un desktop o ad un’applicazione ospitata in remoto e consente ai criminali informatici di connettersi, accedere e controllare dati e risorse tramite un host remoto, come se i dipendenti di un’azienda controllassero i dati localmente.
Il costo dell’accesso iniziale varia notevolmente e può partire da un paio di centinaia di dollari per arrivare fino a centinaia di migliaia. L’elemento determinante è rappresentato dal reddito della potenziale vittima: il prezzo cresce di pari passo con il reddito. Inoltre, ad incidere sul costo delle offerte è anche il settore e il Paese in cui opera l’azienda.
L’accesso alle grandi infrastrutture aziendali costa solitamente tra i 2.000 e i 4.000 dollari, prezzi relativamente modesti, anche se non c’è un limite massimo al costo. Ad esempio, i dati di un’azienda con un fatturato di 465 milioni di dollari sono in vendita per 50.000 dollari
Indubbiamente, una delle componenti più importanti del prezzo di accesso iniziale è la quantità di denaro che l’acquirente può potenzialmente guadagnare da un attacco. Gli operatori di ransomware sono disposti a pagare migliaia o addirittura decine di migliaia di dollari per avere l’opportunità di infiltrarsi in una rete aziendale. Spesso questi attacchi costano milioni di dollari all’azienda presa di mira. I threat actor più prolifici dell’ultimo anno hanno potenzialmente ricevuto 5,2 miliardi di dollari in trasferimenti negli ultimi tre anni.
Oltre a criptare i dati aziendali, i criminali informatici li rubano. In seguito, possono pubblicare alcuni dei dati rubati nei loro blog, principalmente come prova, ma anche per avere una maggiore influenza, minacciando di pubblicarne altri, a meno che l’azienda non paghi loro il denaro richiesto entro un determinato periodo di tempo.
“La community di criminali informatici si è evoluta non solo dal punto di vista tecnico, ma anche dal punto di vista organizzativo. Oggi i gruppi di ransomware assomigliano più a vere e proprie aziende con servizi e prodotti in vendita. Il nostro lavoro consiste nel monitorare costantemente i forum della darknet per individuare le nuove tendenze e tattiche dell’underground criminale. Inoltre, abbiamo osservato il crescente mercato dei dati necessari per organizzare un attacco. Ottenere la visibilità delle fonti nel dark web è essenziale per le aziende che vogliono arricchire la propria threat intelligence. Ricevere informazioni tempestive su attacchi pianificati, discussioni sulle vulnerabilità e violazioni di dati riuscite aiuterà a ridurre la superficie di attacco e a intraprendere azoni adeguate” ha commentato Sergey Shcherbel, esperto di sicurezza di Kaspersky.
La ricerca sul dark web, introdotta all’interno di Threat Intelligence Portal, consente di accedere a informazioni provenienti da una serie di fonti convalidate in tutto il mondo, permettendo alle aziende di mitigare l’impatto dei cyberattacchi e di identificare le potenziali minacce prima che si trasformino in incidenti.
A questo proposito, il 21 giugno, durante un webinar, Yuliya Novikova e Sergey Shcherbel, esperti di sicurezza di Kaspersky, faranno luce su come i dati e le informazioni di sistema di un’azienda vengono venduti sui mercati darknet. Per partecipare al webinar è possibile registrarsi gratuitamente al seguente link.
Il report completo sui dark market dei dati aziendali è disponibile su Securelist.com.