Quando i media parlano di un’azienda attaccata da un ransomware, molti si immaginano la seguente situazione: degli abili hacker creano un pericoloso malware; poi studiano a lungo un modo per hackerare l’azienda e infine ci riescono e criptano i dati confidenziali dell’azienda in questione. Per questo motivo, alcuni imprenditori sono ancora convinti che la loro azienda non sia abbastanza interessante da indurre i criminali a impiegare così tante risorse per hackerarla.
In realtà, le cose non potrebbero essere più diverse. Un cyber-criminale moderno, infatti, non crea da solo il malware, ma lo affitta, e non spende risorse nel cercare di hackerare il suo obiettivo: si rivolge semplicemente al mercato ombra dove degli intermediari possono vender loro l’accesso iniziale. Gli esperti del nostro servizio Digital Footprint Intelligence hanno deciso di scoprire quanti passaggi di denaro avvengono quando i criminali informatici comprano e vendono l’accesso alle infrastrutture aziendali.
Quanto costa l’accesso?
Quanto spendono i cybercriminali per acquistare l’accesso alla vostra infrastruttura? Dipende da molti fattori, ma il più significativo è il fatturato dell’azienda. Dopo aver analizzato circa duecento inserzioni sulla darknet, i nostri esperti sono giunti alle seguenti conclusioni:
- la maggior parte degli annunci offre accesso a piccole aziende;
- quasi la metà degli annunci offre l’accesso per meno di 1.000 dollari;
- i casi in cui l’accesso viene venduto per più di 5.000 dollari sono piuttosto rari;
- il costo medio dell’accesso alle grandi aziende oscilla tra i 2.000 e i 4.000 dollari.
Certo, non si tratta di somme enormi, ma i criminali che usano ransomware si aspettano di ricavare somme molto più elevate dalle loro attività di ricatto, ecco perché sono disposti a spendere cifre di questo tipo per l’accesso iniziale. Inoltre, sembra che il prezzo di mercato si sia stabilito grazie alla domanda e all’offerta organica e a un potere d’acquisto ampiamente conosciuto.
Cosa si vende?
Gli criminali offrono diversi tipi di accesso. A volte si tratta di informazioni su una vulnerabilità che può essere sfruttata per ottenere l’accesso; altre volte si tratta di credenziali di accesso a Citrix o al pannello dell’hosting del sito. Tuttavia, nella stragrande maggioranza dei casi (in più del 75% degli annunci) si tratta di una variante di accesso tramite RDP (a volte in combinazione con una VPN). Di conseguanza, questa opzione di accesso remoto all’infrastruttura aziendale dovrebbe essere gestita con maggiore attenzione.
Dove ottengono l’accesso i criminali?
Esistono molte opzioni per ottenere l’accesso iniziale. In alcuni casi i criminali informatici utilizzano il metodo più semplice: il mining delle password. Tuttavia, il più delle volte inviano e-mail di phishing ai dipendenti o e-mail con allegati dannosi (spyware o, ad esempio, stealers, che raccolgono automaticamente dai dispositivi infetti credenziali, token di autorizzazione, cookie e così via). A volte gli hacker sfruttano anche eventuali vulnerabilità note presenti nei software prima che gli amministratori le abbiano corrette con una patch.
Nel nostro report pubblicato su Securelist, potete trovare i risultati dettagliati dello studio, con esempi di annunci in cui si vendono accessi reali.
Come proteggersi?
Poiché il più delle volte l’oggetto della vendita è l’accesso remoto all’infrastruttura aziendale tramite RDP, questo è proprio il primo elemento da proteggere. I nostri esperti forniscono le seguenti raccomandazioni:
– impostare l’accesso RDP solo tramite VPN;
– utilizzare password forti;
– utilizzare la Network Level Authentication o autenticazione a livello di rete (se possibile);
– utilizzare l’autenticazione a due fattori per tutti i servizi critici.
Per ridurre le probabilità di furto di password attraverso il phishing, si raccomanda anche di utilizzare soluzioni di sicurezza affidabili che abbiano un modulo anti-phishing sia sui dispositivi dei dipendenti che a livello di e-mail gateway. In secondo luogo, per proteggersi maggiormente, è bene sensibilizzare periodicamente il personale in materia di cybersecurity
Infine, è molto utile scoprire se qualcuno sta già esaminando come accedere all’infrastruttura della vostra azienda sulla darknet, quindi è consigliabile monitorare tali attività. Questo è esattamente quello che fa il nostro servizio di Digital Footprint Intelligence