▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Accessi alle reti aziendali in vendita sul dark web: costi, contrattazioni e obiettivi

Una indagine fra forum e canali del dark web rivela che l’accesso iniziale alle reti aziendali è uno dei servizi più richiesti. Le cifre in ballo sono modeste rispetto ai potenziali guadagni del cybercrime.

Tecnologie/Scenari

Quanto vale sul dark web un accesso a un’azienda? Chi lo vende e chi lo compra? Sono domande lecite nell’epoca del cybercrime-as-a-service, e della crescente importanza che rivestono gli Initial Access Broker (IAB) nell’ecosistema criminale. Così come è importante sapere quali sono le informazioni più richieste dagli attaccanti, quanto sono disposti a pagarle e qual è il loro ricavo netto.

È stato argomento di discussione del webinar Dark Market for corporate data: How cybercriminals sell access to your company organizzato da Kaspersky. Sono molte le informazioni interessanti che sono emerse, a partire dal fatto che il rapporto per un criminale informatico fra l’investimento per l’acquisto di un accesso iniziale e il suo guadagno (per esempio con un riscatto ransomware) è fortemente vantaggioso: un investimento di decine di dollari sfocia in un potenziale guadagno di centinaia di dollari; investendo centinaia di dollari si possono intascare anche milioni.


La fonte dei dati

La Security Digital Footprint Intelligence si occupa espressamente di analizzare l’attività delle darknet e le discussioni fra cyber criminali. Come abbiamo spiegato più volte, è un compito importante perché permette ai difensori e agli autori di soluzioni per la cyber security di conoscere che cosa cercano i cyber criminali, quali sono gli attacchi che stanno progettando e quanto sono disposti a pagare. Un dettaglio quest’ultimo che permette di capire se gli attori sono criminali in erba o gruppi potenti.

Ai fini della realizzazione del webinar sono stati setacciati quasi 200 post sui forum, blog e canali del dark web che offrivano informazioni per l’accesso iniziale alle aziende target. Ovviamente l’initial access non è l’unico servizio venduto (ce ne sono per ottenere la persistenza in rete, per i movimenti laterali, per l’esfiltrazione e molto altro), tuttavia nei forum monitorati questo argomento riguardava il 5% delle discussioni – altrimenti detto, è un servizio molto gettonato.


Accesso iniziale

Vendere l’accesso iniziale a una rete target frutta soldi facili ai cyber criminali alle prime armi. Per i gruppi ormai rodati e gli APT, invece, è un modo economico e veloce per entrare in possesso dei dati che servono per avviare la kill chain. Gli obiettivi degli acquirenti sono vari: scatenare un attacco ransomware è quello più scontato. Ci sono poi i gruppi (per lo più APT) che intendono esfiltrare documenti riservati, segreti industriali o altro, da rivendere. Oppure ancora, il carding, ossia il rastrellamento di dati di carte di credito.

Di quali tipi di dati parliamo? Questa parte è interessante: si va dalle credenziali valide per l’accesso a servizi esposti RDP, SSH e VPN, per arrivare ai cookie dei pannelli di amministrazione web di utenti e amministratori di sistema, passando per i dettagli sulle vulnerabilità (per creare exploit) e per l’accesso diretto a una webshell già caricata. Sulle vulnerabilità c’è un dettaglio prezioso: le più gettonate al momento dell’indagine erano i software senza patch tipo log4shell, le falle in applicazioni web, le misconfigurazioni di servizi e gli zero-day.


Quando si parla di credenziali, invece, il livello di dettaglio è importante: i venditori elencano i guadagni delle aziende vittima, il tipo di accesso in vendita, il prezzo e informazioni generali sull’impresa – come per esempio il settore operativo.

Passiamo al listino prezzi: l’accesso alle grandi infrastrutture aziendali costa solitamente tra i 2.000 e i 4.000 dollari, ma non c’è un limite massimo al costo, si può anche arrivare a 100 milioni di dollari. Molto dipende dall’affidabilità e dalla popolarità del venditore, dall’eventuale asta che si innesca, dal fatturato dell’azienda e (ovviamente) da quanto il potenziale acquirente è disposto a investire: se il guadagno si prospetta alto, può valere la pena fare un investimento corposo. In generale, come accennato sopra, le spese per l’acquisto dei servizi sono modeste rispetto ai guadagni – soprattutto per un gruppo ransomware o un APT - quindi non è difficile credere che ci siano in circolazione realtà criminali con una disponibilità di denaro che gli permette di acquistare praticamente qualsiasi accesso.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter