Con el auge del modelo de negocio del Ciberdelito as a Service, los ciberdelincuentes persiguen la información necesaria para organizar un ataque.

Los expertos de Kaspersky han analizado casi 200 publicaciones en la Dark Web que ofrecían comprar información para el acceso inicial a los foros de las empresas. El coste medio de acceso a los sistemas de una gran empresa oscila entre 1.900 y 3.800 euros, que es relativamente económico en comparación con el daño potencial que podría causar a las empresas objetivo. Dichos servicios son de gran interés para los operadores de ransomware, cuyas ganancias podrían alcanzar la friolera de 38 millones al año. Estos y otros hallazgos se pueden encontrar en el nuevo informe de Kaspersky, «¿Cuánto cuesta el acceso a la infraestructura corporativa?».

La investigación de Kaspersky ha demostrado la gran demanda que existe en la Dark Web, no solo de datos obtenidos a través de un ataque, sino también de información y servicios necesarios para organizar uno (por ejemplo, los datos necesarios para realizar pasos específicos de un ataque multifase). Una vez que un ciberatacante obtiene acceso a la infraestructura de la organización, puede vender ese acceso a otros ciberdelincuentes avanzados, como los operadores de ransomware. Estos ataques provocan pérdidas financieras y de reputación significativas para la organización objetivo e, incluso, pueden causar la suspensión de la actividad y la interrupción de los procesos comerciales. Las pymes y las empresas son el objetivo principal de estos ataques.

Los expertos de Kaspersky han analizado cerca de 200 publicaciones en la Dark Web que ofrecen comprar información para el acceso inicial a los foros de las empresas, con la intención de definir los principales tipos de datos corporativos vendidos, así como qué criterios utilizan los ciberdelincuentes para evaluar el precio de los datos de una organización. La mayoría de las publicaciones (75%) vendían acceso RDP (Escritorio remoto). Ofrece acceso a un escritorio o aplicación alojada de forma remota, luego permite a los ciberdelincuentes conectarse, acceder y controlar datos y recursos a través de un host remoto, como si los empleados de una empresa estuvieran controlando los datos localmente.

Los precios del acceso inicial varían mucho, desde un par de cientos de euros hasta cientos de miles. Como era de esperar, la clave de los altos precios de las ofertas analizadas son los ingresos de la víctima potencial: el precio crece junto con los ingresos. Los precios también pueden diferir según la industria y la región operativa de la empresa.

Correlación entre el precio de los datos de acceso a la red y los ingresos de una empresa

El acceso a las grandes infraestructuras empresariales suele costar entre 1.900 y 3.800 euros, que son precios relativamente modestos. Pero tampoco hay un límite superior para el coste. Los datos pertenecientes a una empresa con ingresos de 445 millones de euros están a la venta por 48.000 euros.

Ejemplo de una oferta de venta de datos para acceso remoto a cinco empresas en una red por 48,000€

Sin duda, uno de los componentes más importantes del precio de acceso inicial es la cantidad de dinero que el comprador puede ganar potencialmente con un ataque utilizando ese acceso. Los operadores de ransomware están dispuestos a pagar miles, o incluso decenas de miles, por la oportunidad de infiltrarse en una red corporativa por una razón. A menudo le cuestan a la corporación objetivo millones de dólares. Los actores más prolíficos del año pasado han recibido potencialmente 5000 millones de euros en transferencias durante los últimos tres años.

Además de cifrar los datos corporativos, los ciberdelincuentes también los roban. Más tarde, pueden publicar algunos de los datos robados en sus blogs, principalmente como prueba, pero también como seguro adicional, amenazando con publicar más si la empresa no paga el dinero que exigen dentro de un plazo estipulado.

“La comunidad de ciberdelincuentes ha evolucionado, no solo desde el punto de vista técnico, sino desde el punto de vista de su organización. Hoy en día, los grupos de ransomware se parecen más a industrias reales con servicios y productos a la venta. Supervisamos constantemente los foros de la Dark Web para detectar nuevas tendencias y tácticas de los ciberdelincuentes clandestinos. Hemos observado el creciente mercado de datos necesarios para organizar un ataque. Obtener la visibilidad de las fuentes en la Dark Web es esencial para las empresas que buscan enriquecer su inteligencia de amenazas. La información oportuna sobre los ataques planificados, las discusiones sobre las vulnerabilidades y las filtraciones de datos exitosas ayudarán a reducir la superficie de ataque y tomar las medidas adecuadas”, comenta Sergey Shcherbel, experto en seguridad de Kaspersky.

La búsqueda en la Dark Web que se incluye en el portal Kaspersky Threat Intelligence brinda acceso a información de una variedad de fuentes validadas en todo el mundo, lo que permite a las empresas mitigar el impacto de los ciberataques e identificar amenazas potenciales antes de que se conviertan en incidentes.