Cuando los medios de comunicación informan de que una empresa ha sufrido el ataque de un ransomware, mucha gente se imagina que esos astutos piratas informáticos desarrollaron un peligroso malware, luego emplearon mucho tiempo en buscar la forma de hackear la empresa y, finalmente, cifraron sus datos confidenciales. Por esto, algunos empresarios siguen convencidos de que su empresa no es lo suficientemente interesante como para que los atacantes empleen tantos recursos en hackearla.
Pero no hay nada más alejado de la realidad. De hecho, los atacantes hoy en día no escriben el malware ellos mismos, sino que lo “alquilan”, y no gastan recursos en el hackeo, simplemente acuden al mercado negro de intermediarios de accesos iniciales. Los expertos de nuestro servicio de Inteligencia de Huella Digital decidieron averiguar cuánto dinero hay en juego cuando los ciberdelincuentes compran y venden el acceso a la infraestructura de las empresas.
¿Cuánto cuesta el acceso?
Entonces, ¿cuánto gastan los atacantes cuando compran ese acceso a tu infraestructura? Esto depende de muchos factores, pero el más relevante es el de los ingresos de tu empresa. Tras analizar unos doscientos anuncios en la darknet, nuestros expertos llegaron a las siguientes conclusiones:
– La mayoría de los anuncios ofrecen acceso a pequeñas empresas.
– Casi la mitad de los anuncios ofrecen acceso por menos de 1.000 dólares.
– Rara vez se vende un acceso por más de 5.000 dólares.
– El coste medio del acceso a las grandes empresas oscila entre 2.000 y 4.000 dólares.
Como ves, no se trata de grandes cantidades de dinero. La clave está en que los operadores de ransomware esperan conseguir sumas mucho mayores en la etapa de extorsión, por lo que están dispuestos a gastar esta cantidad en el acceso inicial. Estas cifras parecen ser el precio de mercado que se ha establecido en función de la oferta y la demanda orgánica y el poder adquisitivo.
¿Qué se vende?
Se ofrecen diferentes tipos de acceso. Desde información sobre una vulnerabilidad que puede ser explotada para obtener acceso, hasta credenciales para acceder a Citrix o al panel de control del sitio. Pero, en la gran mayoría de los casos (en más del 75 % de los anuncios), ofrecen una variante de acceso a través de RDP (a veces junto con una VPN). Por lo tanto, se debe prestar más atención a esta opción de acceso remoto a la infraestructura de la empresa.
¿Dónde consiguen los ciberdelincuentes el acceso?
Hay muchas opciones para obtener el acceso inicial. A veces, los ciberdelincuentes optan por la forma más sencilla: la extracción de contraseñas. Pero lo más frecuente es que envíen correos electrónicos de phishing a los empleados, o correos electrónicos con archivos adjuntos maliciosos (spyware o, por ejemplo, stealers o ladrones de contraseñas que recogen automáticamente las credenciales, tokens de autorización, cookies, etc. de los dispositivos infectados). A veces, los atacantes también aprovechan las vulnerabilidades conocidas del software antes de que los administradores lo parcheen.
En el informe del sitio web de Securelist puedes ver los resultados detallados del estudio, con ejemplos de anuncios reales de acceso inicial.
¿Cómo mantenerse a salvo?
Dado que la mayoría de las veces el objeto de la venta es el acceso remoto a la infraestructura de una empresa a través de RDP, es este el que debe protegerse en primer lugar. Para ello, nuestros expertos dan las siguientes recomendaciones:
– Organizar el acceso RDP solo a través de VPN.
– Utilizar contraseñas seguras.
– Utilizar la autenticación a nivel de red (si es posible).
– Utilizar la autenticación de dos factores para todos los servicios críticos.
Para que las contraseñas sean menos susceptibles de ser filtradas a través del phishing, también se recomienda utilizar soluciones de seguridad fiables con un motor antiphishing tanto en los dispositivos de los empleados como a nivel de la entrada de correo. Otro consejo es concienciar al personal en términos de ciberseguridad.
Además, es muy útil averiguar si alguien ya está investigando formas de acceder a la infraestructura de tu empresa en la darknet, por lo que se aconseja monitorizar dicha actividad. De esto se encarga nuestro equipo de Digital Footprint Intelligence.