2 000 $ pour accéder à votre organisation sur le dark web

Le coût moyen pour accéder au réseau ou aux systèmes informatiques d’une organisation se situe entre 2 000 $ (1 650 £) et 4 000 $ (3 300 £) – une bagatelle relative par rapport aux sommes que les opérateurs de ransomware exigent et reçoivent, et aux dommages financiers massifs qui peuvent être causés par une cyberattaque au bon moment.

Ce chiffre est basé sur une analyse de centaines de messages sur des forums cybercriminels du dark web, menée par des chercheurs de Kaspersky, qui viennent de publier un article sur le sujet, Combien coûte l’accès à l’infrastructure d’entreprise ?

L’équipe de recherche a découvert des niveaux élevés de demande sur le dark web non seulement pour les données volées lors d’une attaque, mais aussi pour les données et les services nécessaires pour orchestrer une attaque en premier lieu.

« La communauté cybercriminelle a évolué, non seulement d’un point de vue technique, mais aussi du point de vue de son organisation », a déclaré Sergey Scherbel de Kaspersky. « Aujourd’hui, les groupes de ransomware ressemblent davantage à de vraies industries avec des services et des produits à vendre.

« Nous surveillons constamment les forums du darknet pour détecter les nouvelles tendances et tactiques de la cybercriminalité souterraine et nous avons observé le marché croissant des données nécessaires pour organiser une attaque. Gagner en visibilité des sources sur le dark web est essentiel pour les entreprises qui cherchent à enrichir leurs renseignements sur les menaces. »

Les prix de cet accès varient considérablement, a déclaré Kaspersky, à partir de quelques centaines de dollars au bas de l’échelle et s’élevant à des centaines de milliers.

Les courtiers en accès initial (BIA), qui, comme d’autres l’ont signalé, deviennent un rouage clé de l’économie de la criminalité en tant que service, adoptent des structures de tarification qui sont, dans l’ensemble, déterminées par les revenus d’une victime potentielle.

Par exemple, une société du FTSE 100 avec des actifs et des intérêts mondiaux sera clairement une cible plus juteuse qu’une entreprise de plomberie locale, de sorte que, naturellement, le montant d’argent qu’un cybercriminel peut potentiellement gagner de cette attaque est l’élément le plus important d’un prix d’accès initial.

En outre, les IAB savent que les opérateurs de ransomware qui peuvent gagner des millions grâce à des attaques réussies sont prêts à payer généreusement, dépensant des dizaines de milliers de dollars dans certains cas.

Parmi les autres facteurs qui entrent en jeu, mentionnons la réputation et l’expertise du CCI, ainsi que les différents types d’accès qu’il offre.

Par exemple, a déclaré Scherbel, les informations sur une vulnérabilité, telles qu’une injection SQL ou un bogue d’exécution de code à distance (RCE), sont facturées très différemment des informations d’identification légitimes pour le protocole RDP (Remote Desktop Protocol) ou le shell sécurisé (SSH).

En effet, dans un premier temps, l’acheteur achète simplement une chance d’accéder à un réseau cible en exploitant une vulnérabilité, alors que RDP ou SSH signifie que l’accès au système cible a déjà été obtenu.

En termes simples, l’obtention d’un accès RDP permet aux acteurs malveillants d’accéder à un poste de travail ou à une application distante qui permet à quiconque le contrôle de se connecter, d’accéder et de contrôler des ressources et des données importantes via un hôte distant de la même manière qu’un employé local. Les trois quarts des annonces analysées offraient un accès RDP.

En effet, Kaspersky a constaté que la plupart des IAB clandestins se spécialisent désormais dans la vente d’accès RDP à distance, et que les trois quarts des annonces analysées offraient un accès RDP.

Il existe également des écarts en fonction de l’industrie et des spécialisations d’une victime, ainsi que de l’emplacement, a déclaré Kaspersky.