Quanto vale sul dark web un accesso a un’azienda? Chi lo vende e chi lo compra? Sono domande lecite nell’epoca del cybercrime-as-a-service, e della crescente importanza che rivestono gli Initial Access Broker (IAB) nell’ecosistema criminale. Così come è importante sapere quali sono le informazioni più richieste dagli attaccanti, quanto sono disposti a pagarle e qual è il loro ricavo netto.

È stato argomento di discussione del webinar Dark Market for corporate data: How cybercriminals sell access to your company organizzato da Kaspersky. Sono molte le informazioni interessanti che sono emerse, a partire dal fatto che il rapporto per un criminale informatico fra l’investimento per l’acquisto di un accesso iniziale e il suo guadagno (per esempio con un riscatto ransomware) è fortemente vantaggioso: un investimento di decine di dollari sfocia in un potenziale guadagno di centinaia di dollari; investendo centinaia di dollari si possono intascare anche milioni.

La fonte dei dati

La Security Digital Footprint Intelligence si occupa espressamente di analizzare l’attività delle darknet e le discussioni fra cyber criminali. Come abbiamo spiegato più volte, è un compito importante perché permette ai difensori e agli autori di soluzioni per la cyber security di conoscere che cosa cercano i cyber criminali, quali sono gli attacchi che stanno progettando e quanto sono disposti a pagare. Un dettaglio quest’ultimo che permette di capire se gli attori sono criminali in erba o gruppi potenti.

Ai fini della realizzazione del webinar sono stati setacciati quasi 200 post sui forum, blog e canali del dark web che offrivano informazioni per l’accesso iniziale alle aziende target. Ovviamente l’initial access non è l’unico servizio venduto (ce ne sono per ottenere la persistenza in rete, per i movimenti laterali, per l’esfiltrazione e molto altro), tuttavia nei forum monitorati questo argomento riguardava il 5% delle discussioni – altrimenti detto, è un servizio molto gettonato.

Accesso iniziale

Vendere l’accesso iniziale a una rete target frutta soldi facili ai cyber criminali alle prime armi. Per i gruppi ormai rodati e gli APT, invece, è un modo economico e veloce per entrare in possesso dei dati che servono per avviare la kill chain. Gli obiettivi degli acquirenti sono vari: scatenare un attacco ransomware è quello più scontato. Ci sono poi i gruppi (per lo più APT) che intendono esfiltrare documenti riservati, segreti industriali o altro, da rivendere. Oppure ancora, il carding, ossia il rastrellamento di dati di carte di credito.

Di quali tipi di dati parliamo? Questa parte è interessante: si va dalle credenziali valide per l’accesso a servizi esposti RDP, SSH e VPN, per arrivare ai cookie dei pannelli di amministrazione web di utenti e amministratori di sistema, passando per i dettagli sulle vulnerabilità (per creare exploit) e per l’accesso diretto a una webshell già caricata. Sulle vulnerabilità c’è un dettaglio prezioso: le più gettonate al momento dell’indagine erano i software senza patch tipo log4shell, le falle in applicazioni web, le misconfigurazioni di servizi e gli zero-day.

Quando si parla di credenziali, invece, il livello di dettaglio è importante: i venditori elencano i guadagni delle aziende vittima, il tipo di accesso in vendita, il prezzo e informazioni generali sull’impresa – come per esempio il settore operativo.

Passiamo al listino prezzi: l’accesso alle grandi infrastrutture aziendali costa solitamente tra i 2.000 e i 4.000 dollari, ma non c’è un limite massimo al costo, si può anche arrivare a 100 milioni di dollari. Molto dipende dall’affidabilità e dalla popolarità del venditore, dall’eventuale asta che si innesca, dal fatturato dell’azienda e (ovviamente) da quanto il potenziale acquirente è disposto a investire: se il guadagno si prospetta alto, può valere la pena fare un investimento corposo. In generale, come accennato sopra, le spese per l’acquisto dei servizi sono modeste rispetto ai guadagni – soprattutto per un gruppo ransomware o un APT - quindi non è difficile credere che ci siano in circolazione realtà criminali con una disponibilità di denaro che gli permette di acquistare praticamente qualsiasi accesso.