Odată cu dezvoltarea criminalității cibernetice pe modelul de afaceri de furnizare de servicii, informațiile necesare pentru a organiza un atac sunt tot mai solicitate infractorilor cibernetici. Experții Kaspersky au analizat aproape 200 de postări de pe dark web, prin care utilizatorii solicită informații pentru accesul inițial la forumurile companiilor. Costul mediu pentru accesul la sistemele unei companii mari se situează între 2000 și 4000 USD, un preț relativ redus în comparație cu daunele potențiale pe care un atac le-ar putea cauza business-urilor vizate. Astfel de servicii sunt de mare interes pentru operatorii de ransomware, ale căror profituri ar putea ajunge până la 40 de milioane de dolari pe an. Acestea și alte constatări pot fi găsite în noul raport Kaspersky – „How much does access to corporate infrastructure cost?”.
Cercetările Kaspersky au relevat o cerere mare pe dark web nu numai pentru datele obținute printr-un atac, ci și pentru datele și serviciile necesare organizării unuia (de exemplu, datele necesare pentru a efectua pașii specifici ai unui atac multifazic). Odată ce un atacator obține acces la infrastructura organizației, acesta poate vinde datele de acces altor criminali cibernetici avansați, cum ar fi operatorii de ransomware. Astfel de atacuri au ca rezultat pierderi financiare și reputaționale semnificative pentru organizația vizată și pot provoca chiar suspendarea activității și întreruperea proceselor de business. IMM-urile și companiile mari sunt cele mai vizate de aceste atacuri.
Experții companiei au analizat aproape 200 de postări de pe Dark web prin care utilizatorii doresc să cumpere informații pentru accesul inițial la forumurile companiilor, intenționând să definească principalele tipuri de date corporative vândute, precum și ce criterii folosesc infractorii cibernetici pentru a evalua prețul pentru datele unei organizații. Majoritatea postărilor (75%) vindeau acces RDP (Remote Desktop). Acesta oferă acces de la un desktop sau la o aplicație găzduită de la distanță, apoi permite infractorilor cibernetici să se conecteze, să acceseze și să controleze datele și resursele printr-o gazdă, de la distanță, la fel cum angajații companiei controlează datele de la fața locului.
Prețurile pentru accesul inițial variază foarte mult, de la câteva sute de dolari la sute de mii. Deloc surprinzător, determinantul cheie pentru prețurile ridicate ale ofertelor analizate este reprezentat de veniturile potențialei victime – prețul crește odată cu veniturile. Prețurile pot diferi și în funcție de industria în care activează compania și regiunea de operare.
Corelația dintre prețul datelor de acces la rețea și veniturile unei companii
Accesul la infrastructurile mari de business costă de obicei între 2.000 și 4.000 USD, care sunt prețuri relativ modeste. Dar nu există nicio limită superioară a costului. Datele aparținând unei companii cu un venit de 465 milioane USD sunt vândute cu 50.000 USD.
Un exemplu de ofertă de vânzare pentru date de acces la distanță la cinci companii într-o singură rețea pentru 50.000 USD
Fără îndoială, una dintre cele mai importante componente ale prețului inițial de acces este suma de bani pe care cumpărătorul o poate câștiga dintr-un atac folosind acel acces. Aceste atacuri cauzează, adesea, companiei vizate pierderi de milioane de dolari. Cei mai prolifici actori din ultimul an au primit 5,2 miliarde de dolari în transferuri în ultimii trei ani.
Pe lângă criptarea datelor corporative, infractorii cibernetici se concentrează și pe furtul acestor date. Mai târziu, aceștia pot posta unele dintre datele furate pe blogurile lor – în primul rând ca dovadă, dar și pentru un șantaj ulterior – amenințând că vor publica și mai multe, dacă compania nu le plătește banii pe care îi cer, într-un interval de timp stabilit.
Căutarea pe dark web introdusă în portalul Kaspersky Threat Intelligence oferă acces la informații dintr-o serie de surse validate din întreaga lume, permițând companiilor să atenueze impactul atacurilor cibernetice și să identifice potențialele amenințări înainte ca acestea să devină incidente grave.
Citiți întregul raport privind activitatea pe dark markets, în ceea ce privește datele corporative, pe Securelist.com
