Con el auge del negocio del “Cibercrimen como Servicio”, los delincuentes están hoy más que nunca buscando la información necesaria no sólo para organizar, sino también para vender sus ataques. Los expertos de Kaspersky analizaron alrededor de 200 publicaciones en la Dark Web que ofrecen información para el acceso inicial a sistemas empresariales. El costo promedio de acceso a una gran empresa oscila entre $ 1,900 USD y los 3,800 mil USD, un costo muy bajo en comparación con el daño potencial que esto puede causar a las compañías que son objeto de estos ataques. Dichos servicios son de gran interés para los operadores de ransomware, cuyas ganancias podrían alcanzar los US$38 millones de dólares al año. Estos y otros hallazgos se pueden encontrar en el nuevo informe de Kaspersky, ¿Cuánto cuesta el acceso a la infraestructura corporativa?
La investigación ha comprobado la gran demanda que existe en el mercado clandestino, no solo de los datos obtenidos a través de un ataque, sino también de la información y los servicios necesarios para organizar uno (por ejemplo, los datos necesarios para realizar pasos específicos de un ataque multifase). Una vez que un ciberatacante obtiene acceso a la infraestructura de una organización, puede vender ese acceso a otros ciberdelincuentes más avanzados, como los operadores de ransomware. Estos ataques provocan pérdidas financieras y de reputación muy significativas para las organizaciones e, incluso, pueden causar la suspensión de las actividades y la interrupción de los procesos comerciales, siendo las PyMEs y las empresas el objetivo principal de estos ataques.
Los expertos de Kaspersky analizaron cerca de 200 publicaciones en la Dark Web con la intención de definir los principales tipos de datos corporativos vendidos, así como los criterios utilizados por los delincuentes para evaluar el precio de los datos de una organización. Se encontró que la mayoría de las publicaciones, (75%) vendían accesos RDP (Protocolos de Escritorio Remoto) que permiten ingresar a los escritorios o aplicaciones alojadas de forma remota, ayudando a los ciberdelincuentes a conectarse, acceder y controlar datos y recursos a través de un servidor remoto, como si los empleados de una empresa estuvieran controlando los datos localmente.
Los precios del acceso inicial varían mucho, desde un par de cientos de dólares hasta cientos de miles. Como era de esperarse, la clave de los altos precios de las ofertas analizadas son los ingresos de la empresa víctima potencial: el precio crece junto con los ingresos. Los precios también pueden diferir según la industria y la región operativa de la empresa.
El acceso a las grandes infraestructuras empresariales puede ir desde los $1,900 hasta los $3,800 USD dólares que son precios relativamente bajos; lo preocupante es que no hay un límite superior para el costo. Los datos de una empresa con ingresos de US$450 millones de dólares pueden llegar a estar a la venta por US$50,000 dólares.
Otro de los componentes más importantes del precio de acceso inicial es la cantidad de dinero que el delincuente puede potencialmente ganar con el ataque utilizando este acceso. Los operadores de ransomware están dispuestos a pagar miles, o incluso, decenas de miles, por la oportunidad de infiltrarse en una red corporativa por una razón: se estima que los ciberdelincuentes más prolíficos del año pasado han recibido hasta US$5,000 millones de dólares en transferencias durante los últimos tres años.
Además de cifrar los datos corporativos, los atacantes también los roban. Más tarde, pueden publicar algunos de los datos robados en sus blogs, principalmente como prueba, pero también como seguro adicional, amenazando con publicar más si la empresa no paga el dinero que exigen dentro de un plazo estipulado.
“Hoy en día, los grupos de ransomware se parecen más a negocios reales con servicios y productos a la venta. En Kaspersky supervisamos constantemente los foros de la Dark Web para detectar nuevas tendencias y tácticas de los ciberdelincuentes y hemos observado el creciente mercado de datos para la organización de ataques. Obtener visibilidad de las fuentes en la Dark Web es esencial para las empresas que buscan enriquecer su inteligencia de amenazas. La información oportuna sobre los ataques planificados, las discusiones sobre las vulnerabilidades y las filtraciones de datos exitosas ayudarán a reducir la superficie de ataque y tomar las medidas adecuadas”, comentó Fabio Assolini, director del Equipo de Investigación y Análisis para América Latina en Kaspersky.
La búsqueda en la Dark Web que se incluye en el portal Kaspersky Threat Intelligence brinda acceso a información de una variedad de fuentes validadas en todo el mundo, lo que permite a las empresas mitigar el impacto de los ciberataques e identificar amenazas potenciales antes de que se conviertan en incidentes.
Los expertos en seguridad de Kaspersky, expusieron cómo se venden los datos y la información del sistema de una empresa en los mercados de la Dark Web, en un webinar que puedes ver en este enlace.