Gli esperti di Kaspersky hanno individuato un’elevata domanda sul dark web di dati ottenuti attraverso un attacco e di dati e servizi necessari per organizzarne uno e hanno rilevato quasi 200 post che offrivano informazioni per l’accesso iniziale ai forum delle aziende.
La maggior parte dei post vendeva l’accesso RDP (Remote Desktop), un sistema che fornisce l’accesso a un desktop o a un’applicazione ospitata in remoto e consente ai cyber criminali di connettersi, accedere e controllare dati e risorse tramite un host remoto, come se i dipendenti di un’azienda controllassero i dati localmente.
Il costo medio dell’accesso iniziale ai sistemi varia notevolmente e può partire da un paio di centinaia di dollari per arrivare fino a centinaia di migliaia. L’elemento determinante è rappresentato dal reddito dell’azienda potenziale vittima: il prezzo, infatti, cresce di pari passo con il reddito. Inoltre, ad incidere sul costo delle offerte è anche il settore e il Paese in cui opera l’azienda.
I ricercatori hanno rilevato che l’accesso alle grandi infrastrutture aziendali costa solitamente tra i 2.000 e i 4.000 dollari, prezzi relativamente modesti, anche se non c’è un limite massimo al costo. Ad esempio, i dati di un’azienda con un fatturato di 465 milioni di dollari sono in vendita per 50.000 dollari
Una volta ottenuto l’accesso all’infrastruttura dell’organizzazione, l’attaccante può venderlo ad altri criminali informatici esperti, come gli operatori di ransomware. Una delle componenti più importanti del prezzo di accesso iniziale è infatti la quantità di denaro che l’acquirente può potenzialmente guadagnare da un attacco e gli operatori di ransomware sono disposti a pagare migliaia o addirittura decine di migliaia di dollari per avere l’opportunità di infiltrarsi in una rete aziendale.
I threat actor più prolifici dell’ultimo anno hanno potenzialmente ricevuto 5,2 miliardi di dollari in trasferimenti negli ultimi tre anni. Oltre a criptare i dati aziendali, i criminali informatici li rubano e possono pubblicarne alcuni in seguito nei loro blog principalmente come prova ma anche per avere una maggiore influenza, minacciando di pubblicarne altri, a meno che l’azienda non paghi loro il denaro richiesto entro un determinato periodo di tempo.
Per l’organizzazione colpita questi attacchi comportano significative perdite finanziarie e reputazionali e possono causare l’interruzione del lavoro e dei processi aziendali. Nel bersaglio dei cyber criminali ci sono sia le enterprise che le PMI.
La ricerca sul dark web, introdotta all’interno di Threat Intelligence Portal, consente di accedere a informazioni provenienti da una serie di fonti convalidate in tutto il mondo, permettendo alle aziende di mitigare l’impatto dei cyberattacchi e di identificare le potenziali minacce prima che si trasformino in incidenti.
