O cibercrime como modelo de negócio as-a-service está a levar os cibercriminosos recolher a informação necessária para organizar um ataque. Os especialistas da empresa de cibersegurança, Kaspersky, analisaram quase 200 mensagens na DarkWeb em era feita a oferta para comprar informação para acesso inicial a fóruns de empresas.
Os especialistas da Kaspersky indicam que o custo médio de acesso aos sistemas de uma grande empresa situa-se entre 1.900 e 3.800 euros, o que é relativamente barato em comparação com os danos potenciais que poderiam ser causados às empresas visadas. Tais serviços são de grande interesse para os operadores de ransomware, cujos lucros podem atingir mais de 38 milhões de euros por ano. Estas e outras descobertas constam do novo relatório da Kaspersky,
Custo do acesso a uma infraestrutura corporativa
A investigação da Kaspersky demonstrou a grande procura que existe na DarkWeb, não só de dados obtidos através de um ataque, mas também de informações e serviços necessários para orquestrar um (por exemplo, os dados necessários para executar etapas específicas de um ataque multifásico).
Uma vez que um ciberataque tenha acesso à infraestrutura da organização, pode vender esse acesso a outros cibercriminosos, tais como operadores de ransomware. Estes ataques resultam em perdas financeiras e de reputação significativas para a organização visada e podem mesmo causar paragens e perturbações nos processos empresariais. As PME são o principal alvo destes ataques.
Os investigadores da Kaspersky analisaram cerca de 200 publicações sobre a oferta da DarkWeb para comprar informação de acesso inicial a fóruns de empresas, com o objetivo de definir os principais tipos de dados empresariais vendidos, bem como os critérios que os cibercriminosos utilizam para avaliar o preço dos dados de uma organização.
A maioria das ofertas, ou seja, 75%, vendeu acesso RDP (Remote Desktop), que permite o acesso a um ambiente de trabalho ou aplicação alojada remotamente, permitindo depois que os criminosos informáticos acedam e controlem dados e recursos através de um anfitrião remoto, como se os funcionários de uma empresa estivessem a controlar os dados localmente.
Os preços de acesso inicial variam muito, entre algumas centenas de euros e centenas de milhares de euros. Como esperado, a chave para os preços elevados das ofertas analisadas é o potencial da receita com a vítima: o preço cresce juntamente com a receita. Os preços podem também diferir de acordo com a indústria e a região de operação da empresa.
O acesso a grandes infraestruturas empresariais custa tipicamente entre 1.900 e 3.800 euros, que são preços relativamente modestos. Mas também não existe um limite para o custo. Os dados pertencentes a uma empresa com receitas de 445 milhões de euros estão à venda por 48.000 euros, indica a Kaspersky.
Uma das componentes mais importantes do preço de acesso inicial é, sem dúvida, a quantia que o comprador pode potencialmente ganhar com um ataque utilizando esse acesso. Há uma razão pela qual os operadores de ransomware estão dispostos a pagar milhares de euros, ou mesmo dezenas de milhares de euros, pela oportunidade de se infiltrarem numa rede corporativa. Muitas vezes custam à organização visada milhões de euros. Os agentes mais prolíficos no ano passado receberam potencialmente 5 mil milhões de euros em transferências ao longo dos últimos três anos.
Para além de encriptar dados empresariais, os criminosos informáticos também os roubam. Mais tarde, podem publicar alguns dos dados roubados nos seus blogs, principalmente como prova, mas também como seguro adicional, ameaçando publicar mais se a empresa não pagar o dinheiro exigido dentro de um período de tempo estipulado.
“A comunidade cibercriminosa evoluiu, não só de um ponto de vista técnico, mas também de um ponto de vista organizacional. Hoje em dia, os grupos de ransomware são como verdadeiras indústrias com serviços e produtos para venda. Monitorizamos constantemente os fóruns na Dark Web para descobrir novas tendências e táticas de cibercrime. Temos observado o crescimento do mercado de dados necessários para organizar um ataque. Ganhar visibilidade sobre e nas fontes da DarkWeb é essencial para as empresas que procuram enriquecer a sua inteligência de ameaças. A obtenção de informação atempadamente sobre ataques planeados, discussões sobre vulnerabilidades e fugas de dados bem-sucedidas ajudará a reduzir a superfície de ataque e a tomar as medidas apropriadas”, comentou Sergey Shcherbel, perito em segurança da Kaspersky.
A pesquisa na DarkWeb incluída no portal Kaspersky Threat Intelligence fornece acesso a informação de uma variedade de fontes validadas em todo o mundo, permitindo às empresas mitigar o impacto dos ataques cibernéticos e identificar potenciais ameaças antes que se tornem incidentes.