Análisis del mercado de acceso inicial

Nuestros expertos han estudiado el mercado negro para conseguir el acceso inicial a la infraestructura de las empresas.

Cuando se anuncia en medios de comunicación que una empresa sufrió el ataque de un ransomware, la gente gente suele imaginar que esos astutos piratas informáticos desarrollaron un peligroso malware, luego se tomaron su tiempo para buscar la mejor manera de hackear la empresa y, finalmente, robaron sus datos confidenciales. Es por esto que algunos empresarios están convencidos de que su empresa no es lo suficientemente interesante como para que los atacantes empleen tantos recursos en hackearla.

Pero esto está super alejado de la realidad. De hecho, los atacantes de la actualidad no escriben el malware por sí mismos, sino que lo “alquilan”, y no invierten recursos en el hackeo, solamente acuden al mercado negro de intermediarios de accesos iniciales. Los expertos de nuestro servicio de Inteligencia de Huella Digital decidieron investigar cuánto dinero hay en juego cuando los ciberdelincuentes compran y venden el acceso a la infraestructura de las empresas.

¿Cuánto cuesta el acceso?

Entonces, ¿cuánto gastan los atacantes al comprar dicho acceso a tu infraestructura? Esto varía según diversos factores, pero el más importante es el de los ingresos de tu empresa. Después de revisar unos doscientos anuncios en la darknet, nuestros expertos obtuvieron las siguientes conclusiones:

– La mayoría de los anuncios ofrecen acceso a pequeñas empresas.

– Al menos la mitad de los anuncios ofrecen acceso por menos de 1.000 dólares.

– En raro encontrar un acceso en más de 5.000 dólares.

– El coste medio del acceso a las grandes empresas varía entre los 2.000 y 4.000 dólares.

Como ves, no se trata de grandes cantidades de dinero. La clave está en que los operadores de ransomware esperan conseguir mucho más durante la etapa de extorsión, por lo que están dispuestos a invertir esta cantidad inicial. Dichas cifras parecen ser el precio establecido en el mercado, en función de la oferta y la demanda orgánica y el poder adquisitivo.

¿Qué es lo que venden?

Se ofrecen distintos tipos de acceso. Desde información sobre una vulnerabilidad que puede ser explotada para obtener acceso, hasta credenciales para acceder a Citrix o al panel de control del sitio. Pero, en la gran mayoría de los casos (en más del 75 % de los anuncios), ofrecen una variante de acceso a través de RDP (a veces junto con una VPN). Por ende, es necesario prestar una mayor atención a esta opción de acceso remoto a la infraestructura de la empresa.

¿Dónde consiguen los ciberdelincuentes el acceso?

Las opciones para conseguir el acceso inicial son varias. A veces, los ciberdelincuentes optan por la forma más sencilla: extraer contraseñas. Pero lo que se usa más es enviar correos electrónicos de phishing a los empleados, o correos con archivos adjuntos maliciosos (spyware o, por ejemplo, stealers o ladrones de contraseñas que recogen automáticamente las credenciales, tokens de autorización, cookies, etc. de los dispositivos infectados). En ocasiones, los atacantes aprovechan las vulnerabilidades conocidas del software antes de que los administradores lo parcheen.

En el informe del sitio web de Securelist puedes ver los resultados detallados del estudio, con ejemplos de anuncios reales de acceso inicial.

¿Cómo estar protegido?

Debido a que la mayoría de las veces lo que se vende es el acceso remoto a la infraestructura de una empresa a través de RDP, es este el que debe protegerse en primer lugar. Para esto, nuestros expertos recomiendan lo siguiente:

– Organizar el acceso RDP solo a través de VPN.

– Utilizar contraseñas seguras.

– Utilizar la autenticación a nivel de red (si es posible).

– Utilizar la autenticación de dos factores para todos los servicios críticos.

Para que sea menos probable que las contraseñas sean filtradas a través del phishing, también se recomienda utilizar soluciones de seguridad fiables con un motor antiphishing tanto en los dispositivos de los empleados como a nivel de la entrada de correo. Otro consejo es concienciar al personal en términos de ciberseguridad.

Además, es de gran utilidad investigar si alguien ya está indagando en formas de acceder a la infraestructura de tu empresa en la darknet, por lo que se aconseja monitorizar dicha actividad. De esto se encarga nuestro equipo de Digital Footprint Intelligence.

Consejos