Quando a mídia relata que uma empresa está sendo atacada por ransomware, muitas pessoas imaginam que, inicialmente, hackers escrevem um malware perigoso, depois procuram uma maneira de invadir a empresa e, finalmente, criptografam seus dados confidenciais. Por causa disso, alguns empresários ainda acreditam que suas empresas não são interessantes o suficiente para que os invasores gastem tantos recursos de invasão.
Na realidade, as coisas não poderiam ser mais diferentes. Um cibercriminosos não escreve o malware sozinho, mas o aluga, e não gasta recursos em invasões – ele simplesmente vai para o mercado paralelo buscando o acesso inicial. Especialistas do nosso serviço Digital Footprint Intelligence decidiram descobrir quanto dinheiro é movimentado quando os criminosos compram e vendem acesso à infraestrutura da empresa.
Quer pagar quanto?
Então, quanto os invasores gastam ao comprar acesso à sua infraestrutura? Isso depende de muitos fatores, mas o mais significativo é a receita da sua empresa. Depois de analisar cerca de duzentos anúncios na darknet, nossos especialistas chegaram às seguintes conclusões:
- A maior parte das ofertas são para pequenas empresas;
- Quase a metade das ofertas de acesso custam menos de US$ 1.000;
- São raros os casos em que os acessos são vendidos por mais de US$ 5.000;
- O custo médio de acesso às grandes empresas varia entre US$ 2.000 e US$ 4.000.
Com certeza, dá pra dizer que são enormes somas de dinheiro. Mas os operadores de ransomware esperam colher quantias muito maiores em seus esforços de chantagem, então estão dispostos a gastar no acesso inicial. Parece ser o preço de mercado que foi estabelecido por meio de oferta e demanda orgânica e poder de compra amplamente conhecido.
O que está à venda?
Os invasores oferecem diferentes tipos de acesso. Às vezes, são informações sobre uma vulnerabilidade que podem ser exploradas para acesso. Outras vezes são credenciais para acessar o Citrix ou o painel de hospedagem do site. Mas na grande maioria dos casos (em mais de 75% dos anúncios) eles oferecem uma variante de acesso via RDP (às vezes em conjunto com uma VPN). Assim, esta opção de acesso remoto à infraestrutura da empresa deve ser tratada com maior atenção.
Onde os criminosos conseguem obter esses acessos?
Existem muitas opções para obter o acesso inicial. Às vezes, os cibercriminosos usam a maneira mais simples: mineração de senhas. Mas, na maioria das vezes, eles enviam e-mails de phishing para funcionários ou e-mails com anexos maliciosos (spywares ou, por exemplo, ladrões, que infectam dispositivos e coletam automaticamente credenciais, tokens de autorização, cookies e assim por diante). Às vezes, os invasores também exploram vulnerabilidades conhecidas no software antes que os administradores a corrijam.
Os resultados detalhados do estudo, com exemplos de anúncios reais de acesso inicial, podem ser encontrados no relatório do site Securelist.
Como se proteger?
Como na maioria das vezes o assunto da venda é o acesso remoto à infraestrutura de uma empresa via RDP, esta é a prioridade de proteção. Nossos especialistas dão as seguintes recomendações:
- organize o acesso RDP exclusivamente por VPN;
- use senhas fortes;
- use Autenticação a Nível de Rede (se possível);
- use autenticação de dois fatores para todos os serviços críticos.
Para tornar as senhas menos propensas a vazamentos por meio de phishing, também é recomendável usar soluções de segurança confiáveis com um mecanismo antiphishing, tanto nos dispositivos de funcionários quanto no nível do gateway de e-mail. E para estar no ainda mais seguro, periodicamente aumente a conscientização sobre cibersegurança de sua equipe.
Além disso, é bastante útil saber se alguém já está discutindo formas de acessar a infraestrutura da sua empresa na darknet, por isso é aconselhável monitorar essa atividade. É esse monitoramento que nosso serviço Digital Footprint Intelligence realiza.