Les recherches de Kaspersky ont révélé une forte demande sur le dark web non seulement pour les données obtenues lors d’une attaque, mais aussi pour les données et services nécessaires à l’organisation d’une attaque (par exemple, les données nécessaires à la réalisation d’étapes spécifiques d’une attaque multiphase). Une fois qu’un attaquant a obtenu l’accès à l’infrastructure de l’organisation, il peut vendre cet accès à d’autres cybercriminels avancés, comme les opérateurs de ransomware. Ces attaques entraînent d’importantes pertes financières et de réputation pour l’organisation ciblée et peuvent même provoquer une interruption du travail et une perturbation des processus commerciaux. Les PME et les entreprises sont toutes deux visées par ces attaques.

Les experts Kaspersky ont analysé près de 200 messages sur le Dark Web proposant d’acheter les informations nécessaires pour accéder aux forums des entreprises, dans le but de définir les principaux types de données d’entreprise vendues, ainsi que les critères utilisés par les cybercriminels pour évaluer le prix des données d’une organisation. La plupart des messages (75 %) vendaient un accès RDP (Remote Desktop). Ce type d’accès fournit un accès à un bureau ou à une application hébergée à distance, puis permet aux cybercriminels de se connecter, d’accéder et de contrôler les données et les ressources via un hôte distant, comme si les employés d’une entreprise contrôlaient les données localement.

Le prix de l’accès initial varie fortement, de quelques centaines de dollars à des centaines de milliers. Sans surprise, le facteur déterminant pour les prix élevés des offres analysées est le revenu de la victime potentielle - le prix augmente en même temps que le revenu. Les prix peuvent également varier en fonction du secteur d’activité de l’entreprise et de la région où elle opère.

L’accès aux grandes infrastructures d’entreprise coûte généralement entre 2 000 et 4 000 dollars, ce qui est un prix relativement modeste. Mais il n’y a pas non plus de limite supérieure au coût. Des données appartenant à une entreprise dont le chiffre d’affaires est de 465 millions de dollars sont à vendre pour 50 000 dollars.

Il ne fait aucun doute que l’un des éléments les plus importants du prix de l’accès initial est la somme d’argent que l’acheteur peut potentiellement gagner grâce à une attaque utilisant cet accès. Les opérateurs de ransomware sont prêts à payer des milliers, voire des dizaines de milliers de dollars, pour avoir la possibilité d’infiltrer un réseau d’entreprise. Ces attaques coûtent souvent des millions de dollars à l’entreprise ciblée. Les acteurs les plus prolifiques de l’année dernière ont potentiellement reçu 5,2 milliards de dollars de transferts au cours des trois dernières années.

En plus de chiffrer les données de l’entreprise, les cybercriminels les volent. Ils peuvent ensuite publier certaines des données volées sur leurs blogs - principalement à titre de preuve, mais aussi pour avoir plus de poids - en menaçant d’en publier d’autres si l’entreprise ne leur verse pas l’argent qu’ils exigent dans un délai donné.

“La communauté des cybercriminels a évolué, non seulement d’un point de vue technique, mais aussi du point de vue de leur organisation. Aujourd’hui, les groupes de ransomware ressemblent davantage à de véritables industries avec des services et des produits à vendre. Nous surveillons en permanence les forums du darknet pour détecter les nouvelles tendances et tactiques de l’underground cybercriminel. Nous avons observé l’augmentation du marché des données nécessaires à l’organisation d’une attaque. Obtenir la visibilité des sources à travers le darknet est essentiel pour les entreprises qui cherchent à enrichir leurs renseignements sur les menaces. Des informations opportunes sur les attaques planifiées, les discussions autour des vulnérabilités et les violations de données réussies aideront à réduire la surface d’attaque et à mener les actions appropriées", commente Sergey Shcherbel, expert en sécurité chez Kaspersky.

La recherche sur le dark web présentée sur le portail Kaspersky Threat Intelligence donne accès à des informations provenant d’une série de sources validées dans le monde entier, permettant aux entreprises d’atténuer l’impact des cyberattaques et d’identifier les menaces potentielles avant qu’elles ne deviennent des incidents.