Se vende acceso a sistemas empresariales en la Dark Web desde 2.000 dólares
- Endpoint
Una vez que un atacante obtiene acceso a la infraestructura de la organización, puede vender ese acceso a otros ciberdelincuentes avanzados, como los operadores de ransomware. El 75% de los anuncios publicados en la Dark Web vendían accesos a protocolo de escritorio remoto (RDP).
Con el auge del modelo de negocio de la ciberdelincuencia como servicio, la información necesaria para organizar un ataque está muy demandada entre los ciberdelincuentes. Los expertos de Kaspersky analizaron casi 200 publicaciones en la Dark Web que ofrecían comprar información para tener acceso a los sistemas de las empresas, y descubrieron que el coste medio de acceso a los sistemas de una gran empresa se encuentra entre 2.000 y 4.000 dólares, que es relativamente barato en comparación con el daño potencial que podría causar a las empresas objetivo. Tales servicios son de interés primordial para los operadores de ransomware, cuyas ganancias podrían alcanzar los 40 millones de dólares al año.
La investigación de Kaspersky reveló una gran demanda en la Dark Web no solo de los datos obtenidos de un ataque, sino también de los servicios necesarios para organizar uno (por ejemplo, los pasos específicos de un ataque multifásico). Una vez que un atacante obtiene acceso a la infraestructura de la organización, puede vender ese acceso a otros ciberdelincuentes avanzados, como los operadores de ransomware. Tales ataques provocan pérdidas financieras y de reputación significativas para la organización objetivo e incluso pueden causar una suspensión del trabajo y la interrupción de los procesos comerciales. Las pymes y las empresas son blanco de estos ataques.
El 75% de los anuncios publicados en la Dark Web vendían accesos a protocolo de escritorio remoto (RDP), lo que proporciona acceso a un escritorio o aplicación alojada de forma remota, que luego permite a los ciberdelincuentes conectarse, acceder y controlar datos y recursos a través de un host remoto como si los empleados de una empresa estuvieran controlando los datos localmente.
Los precios para el acceso inicial varían desde un par de cientos de dólares a cientos de miles. Como es de esperar, el determinante clave para los altos precios de las ofertas analizadas son los ingresos de la víctima potencial: el precio crece junto con los ingresos. Los precios también pueden diferir dependiendo de la industria de la empresa y la región operativa. Por ejemplo, los datos de acceso remoto a una empresa con unos ingresos de 465 millones de dólares están a la venta por 50.000.
Sin duda, uno de los componentes más importantes del precio de acceso inicial es la cantidad de dinero que el comprador puede ganar potencialmente de un ataque utilizando ese acceso. Los operadores de ransomware llegan pagar miles, o incluso decenas de miles de dólares, por la oportunidad de infiltrarse en una red corporativa y realizar ataques de doble extorsión. Los actores más prolíficos del año pasado han recibido potencialmente 5.200 millones de dólares en transferencias en los últimos tres años.
“Hoy en día, los grupos de ransomware se parecen más a industrias reales con servicios y productos a la venta. Monitorizamos constantemente los foros de la darknet para detectar nuevas tendencias y tácticas de la clandestinidad cibercriminal. Hemos observado el creciente mercado de datos necesarios para organizar un ataque. Obtener la visibilidad de las fuentes a través de la Dark Web es esencial para las empresas que buscan enriquecer su inteligencia de amenazas. La información oportuna sobre los ataques planificados, las discusiones sobre las vulnerabilidades y las brechas de datos exitosas ayudarán a reducir la superficie del ataque y a impulsar las acciones apropiadas", comenta Sergey Shcherbel, experto en seguridad de Kaspersky.