Yuliya Novikova e Sergey Shcherbel, esperti di sicurezza di Kaspersky, spiegano come i dati di un’azienda vengono venduti sul mercato nero
Il dark web è il luogo dove finiscono i dati sensibili rubati alle aziende a seguito di attacchi informatici andati a buon fine. Con l’ascesa del cybercrime come modello di business, crescono non solo le informazioni in vendita ma anche le modalità con cui i criminali possono attaccare questa o quell’impresa, tramite la condivisione delle “best practice” per farlo. Kaspersky ha organizzato un webinar gratuito proprio per parlare del preoccupante trend, che vede come vittime preferite le piccole e medie imprese. Nel corso di “Dark market for corporate data: how cybercriminals sell access to your company”, Yuliya Novikova e Sergey Shcherbel, esperti di sicurezza di Kaspersky, hanno fatto luce su come i dati di un’azienda e le informazioni sui loro sistemi vengono venduti sui mercati darknet: quali tipi di dati aziendali sono più diffusi e quali criteri utilizzano i criminali informatici per valutare il prezzo delle informazioni di un’organizzazione.
«Nel dark web c’è una domanda non solo per i dati ottenuti attraverso un attacco, ma anche per i dati e servizi necessari per organizzarne uno» dice Yuliya Novikova. «Gli attacchi complessi sono quasi sempre caratterizzati da diverse fasi, come la ricognizione, l’accesso iniziale all’infrastruttura, l’accesso ai sistemi e ai privilegi dell’obiettivo e l’atto malevolo vero e proprio (furto, distruzione o crittografia dei dati, ecc.). Ogni fase dell’attacco può essere portata a termine da un nuovo appaltatore, se non altro perché richiedono competenze diverse. I criminali informatici esperti cercano di garantire la continuità della loro attività e hanno costantemente bisogno di nuovi dati per l’accesso iniziale ai sistemi aziendali. Per loro è vantaggioso pagare per un accesso prestabilito, piuttosto che dedicare tempo alla ricerca di vulnerabilità primarie e alla penetrazione del perimetro».
Al contrario, i criminali informatici meno esperti non sono sempre in grado di portare a termine un attacco ma sono abbastanza abili da guadagnare somme vendendo l’accesso iniziale. Questo articolo si occupa specificamente di questo mercato dell’accesso iniziale. «I ladri raccolgono vari dati relativi al conto e al pagamento, file cookie, gettoni token di autorizzazione» prosegue Sergey Shcherbel «che salvano nei loro registri. Dopo aver smistato i log, scambiano le loro scoperte e risultati sui forum, rendendoli pubblici o li vendono a singoli acquirenti». I due esperti hanno spiegato che il dark web è pieno di gigabyte di registri generati dai ladri. A quanto pare, dall’analisi di molti post individuati da Kaspersky, si potrebbe concludere che le entrate aziendali sono l’elemento principale che i criminali sponsorizzano nella condivisione degli archivi e delle metodologie da usare per bucare certe reti. Alcuni post fanno anche riferimento al livello di complessità per giustificare i prezzi elevati, ovvero quanto tempo e quanto sforzo il venditore ha speso per ottenere l’accesso.
«Oltre alle caratteristiche dell’azienda target, il prezzo può dipendere anche dal tipo di accesso offerto. Le informazioni su una vulnerabilità (ad esempio, SQL injection) e le credenziali legittime (ad esempio, RDP/ SSH) avranno prezzi molto diversi per aziende con ricavi comparabili, perché offrono una diversa probabilità di successo dell’attacco. Vendere un account per accedere alle interfacce di gestione remota (RDP, SSH) significa aver già ottenuto l’accesso a un sistema dell’infrastruttura di rete aziendale, mentre una vulnerabilità offre semplicemente la possibilità di ottenere un livello di accesso simile».
I criminali informatici sono pronti a pagare migliaia o addirittura decine di migliaia di dollari per avere l’opportunità di infiltrarsi in una rete aziendale. Il motivo è che attacchi riusciti pagano molto bene e i ransomware sono un esempio lampante. «In attacchi di questo tipo il malware di solito cripta una quantità significativa di dati sulle postazioni di lavoro o sui server, paralizzando praticamente le operazioni dell’azienda o causando rischi materiali per i processi aziendali. Una volta completata la crittografia, gli aggressori contattano la vittima offrendo l’acquisto di chiavi di decrittazione. Spesso queste costano milioni di dollari. Ad esempio, un’agenzia di viaggi europea ha sborsato 4,5 milioni di dollari e una grande compagnia di assicurazioni americana assicuratore americano ben 40 milioni di dollari di riscatto. Negli ultimi tempi, i criminali informatici tendono non solo a criptare ma anche a rubare i dati aziendali. In seguito, ne possono pubblicare alcuni nei loro blog – principalmente come prova, ma anche come leva aggiuntiva – minacciando di pubblicarne altri se l’azienda non paga».
La domanda di dati aziendali sul mercato nero è elevata e non sempre comporta attacchi mirati. Gli aggressori possono ottenere l’accesso all’infrastruttura di un’azienda a caso per venderla successivamente a ricattatori o altri criminali. Un attacco del genere può colpire un’azienda di qualsiasi dimensione, grande o piccola che sia, perché l’accesso ai sistemi ha spesso un prezzo moderato sui forum clandestini, soprattutto se paragonato al danno potenziale.
«I venditori del dark web offrono spesso l’accesso remoto tramite RDP. Per proteggere l’infrastruttura aziendale da attacchi tramite servizi di accesso remoto e i servizi di controllo, assicuratevi che la connessione tramite questo protocollo sia sicura, fornendo l’accesso ai servizi (ad esempio, RDP) solo attraverso una VPN, utilizzando password forti e l’autenticazione a livello di rete (NLA) e l’autenticazione a due fattori per tutti i servizi».
