El costo promedio para acceder a la red o los sistemas de TI de una organización oscila entre $ 2000 (£ 1650) y $ 4000 (£ 3300), una cantidad relativamente pequeña en comparación con las sumas que los operadores de ransomware demandan y reciben, y el enorme daño financiero que puede causar. forjado por un ciberataque oportuno.
Esta cifra se basa en un análisis de cientos de publicaciones en foros de delincuentes cibernéticos de la web oscura, realizado por investigadores de Kaspersky, que acaban de publicar un artículo sobre el tema, ¿Cuánto cuesta el acceso a la infraestructura corporativa?
El equipo de investigación descubrió altos niveles de demanda en la web oscura no solo de datos robados durante un ataque, sino también de los datos y servicios necesarios para orquestar un ataque en primer lugar.
“La comunidad de delincuentes cibernéticos ha evolucionado, no solo desde un punto de vista técnico, sino también desde el punto de vista de su organización”, dijo Sergey Scherbel de Kaspersky. “Hoy, los grupos de ransomware se parecen más a industrias reales con servicios y productos a la venta.
“Monitoreamos constantemente los foros de la darknet para detectar nuevas tendencias y tácticas del clandestino ciberdelincuente y hemos observado el creciente mercado de datos necesarios para organizar un ataque. Obtener la visibilidad de las fuentes en la web oscura es esencial para las empresas que buscan enriquecer su inteligencia de amenazas”.
Los precios de este acceso varían mucho, dijo Kaspersky, comenzando en un par de cientos de dólares en el extremo inferior y subiendo a cientos de miles.
Los intermediarios de acceso inicial (IAB), que, como han informado otros, se están convirtiendo en un engranaje clave en la economía del crimen como servicio, promulgan estructuras de precios que, en general, están determinadas por los ingresos de una víctima potencial.
Por ejemplo, una empresa FTSE 100 con activos e intereses globales será claramente un objetivo más jugoso que un negocio de plomería local, por lo que, comprensiblemente, la cantidad de dinero que un ciberdelincuente puede ganar potencialmente con ese ataque es el componente más importante de un acceso inicial. precio.
Además, los IAB saben que los operadores de ransomware que pueden ganar millones con ataques exitosos están dispuestos a pagar generosamente, gastando decenas de miles de dólares en algunos casos.
Otros factores que entran en juego incluyen la reputación y la experiencia del IAB, y los diferentes tipos de acceso que ofrecen.
Por ejemplo, dijo Scherbel, la información sobre una vulnerabilidad, como una inyección SQL o un error de ejecución remota de código (RCE), tiene un precio muy diferente al de las credenciales legítimas para el protocolo de escritorio remoto (RDP) o el shell seguro (SSH).
Esto se debe a que, en primera instancia, el comprador simplemente está comprando una oportunidad para acceder a una red de destino mediante la explotación de una vulnerabilidad, mientras que RDP o SSH significan que ya se ha obtenido el acceso al sistema de destino.
En pocas palabras, obtener acceso RDP permite a los malhechores acceder a una aplicación o escritorio remotos que permite a quien lo controla conectarse, acceder y controlar recursos y datos importantes a través de un host remoto de la misma manera que un empleado local. Tres cuartas partes de los anuncios analizados ofrecían acceso RDP.
De hecho, Kaspersky descubrió que la mayoría de las IAB clandestinas ahora se especializan en vender acceso RDP remoto, y tres cuartas partes de los anuncios analizados ofrecían acceso RDP.
También hay variaciones según la industria y las especializaciones de la víctima, así como la ubicación, dijo Kaspersky.