Όπως συμβαίνει και στις κανονικές επιχειρήσεις, οι εγκληματίες του κυβερνοχώρου πρέπει να ανησυχούν για το κόστος λειτουργίας και την απόδοση της επένδυσης. Δυστυχώς, μια νέα έκθεση της Deloitte διαπιστώνει ότι το κόστος διάπραξης εγκλημάτων στον κυβερνοχώρο είναι απίστευτα χαμηλό.
Οι εταιρείες δαπανούν πολλά για να υπερασπιστούν τα δίκτυα και τα περιουσιακά τους στοιχεία από τις απειλές στον κυβερνοχώρο. Η Kaspersky Labs διαπίστωσε ότι οι προϋπολογισμοί ασφαλείας στις επιχειρήσεις ανέρχονται κατά μέσο όρο σε 9 εκατομμύρια δολάρια περίπου, ετησίως. Συν τοις άλλοις, οι παραβιάσεις δεδομένων κοστίζουν στις εταιρείες εκατομμύρια δολάρια. Ωστόσο, τα φτηνά, σχετικά εύχρηστα εργαλεία χάκινγκ «από το ράφι» καθιστούν το κατώφλι εισόδου για τους εγκληματίες του κυβερνοχώρου απίστευτα εύκολο να υπερκεραστεί.
Οι επιθέσεις στον κυβερνοχώρο είναι φθηνότερες από την κυβερνοασφάλεια
Ο λόγος κόστους επίθεσης-άμυνας είναι απλώς άδικος. Οι επιτιθέμενοι έχουν την πολυτέλεια να πουλήσουν αρχεία για ψίχουλα, ωστόσο το κόστος τόσο για την επιχείρηση (όσο και για το μεμονωμένο θύμα, εάν αξιοποιηθούν οι πληροφορίες του) είναι πολύ υψηλότερο.
Αν και οι πληροφορίες που κλέβουν οι επιτιθέμενοι πωλούνται έναντι ευτελούς τιμήματος, τα εργαλεία με τα οποία χρησιμοποιούν για να κλέψουν αυτά τα δεδομένα μπορούν επίσης να αγοραστούν με μικρή αρχική επένδυση. Η Top10VPN εκτίμησε ότι το κόστος ολόκληρης της ψηφιακής ταυτότητας ενός ατόμου – συμπεριλαμβανομένων των log-in για βασικές διαδικτυακές υπηρεσίες όπως αυτές των Amazon, Uber, Spotify, Gmail, Paypal, Twitter, ακόμη και των GrubHub και match.com – μόλις και μετά βίας αξίζει 1.000 δολάρια αν ένας εγκληματίας ήθελε τα πάντα. Μεμονωμένα, όλα τα στοιχεία εκτός από έναν λογαριασμό online αγορών ή οικονομικών συναλλαγών όπως το PayPal αξίζουν λιγότερο από 100 δολάρια.
Η έκθεση Black Market της Armor διαπίστωσε ότι οι προσωπικά αναγνωρίσιμες πληροφορίες (PII), αν και πιο δαπανηρές, εξακολουθούν να αξίζουν λιγότερα από 200 δολάρια ανά εγγραφή στο dark web. Οι πληροφορίες πιστωτικών καρτών Visa και Mastercard διατίθενται για 10 δολάρια ανά εγγραφή. Ακόμη και τραπεζικές πληροφορίες για ολόκληρους λογαριασμούς αξίζουν μόνο 1.000 δολάρια, ακόμη και αν ο εν λόγω λογαριασμός έχει έως και 15.000 δολάρια σε αυτόν. Σε πολλές περιπτώσεις, οι παλιές πληροφορίες δίνονται απλώς δωρεάν. Αυτό έρχεται σε έντονη αντίθεση με τις συνέπειες που έχει για τις επιχειρήσεις η απώλεια αρχείων. Σύμφωνα με την τελευταία έκθεση της IBM για το κόστος μιας παραβίασης δεδομένων, το μέσο κόστος για μια επιχείρηση ανά χαμένο αρχείο ανέρχεται σε 233 δολάρια και μπορεί να είναι πολύ υψηλότερο σε κλάδους με αυστηρή ρύθμιση.
Ο δείκτης τιμών εργαλείων hacking της Top10VPN βρήκε κακόβουλο λογισμικό διαθέσιμο με 45 δολάρια, ενώ μαθήματα για κατασκευή επιθέσεων διατίθενται με 5 μόλις δολάρια. Οι σπάνιες φορές που οι εγκληματίες θα κληθούν να πληρώσουν περισσότερα από 1.000 δολάρια για οποιοδήποτε μεμονωμένο στοιχείο θα είναι για ένα zero-day exploit (μόλις 3.000 δολάρια) ή ένα κιτ προσομοίωσης πύργου κινητής τηλεφωνίας για την υποκλοπή δεδομένων κλήσεων, το οποίο θα κοστίσει πάνω από 28.000 δολάρια.
Μια νέα έκθεση της Terbium labs διαπίστωσε ότι οι οδηγοί απάτης που παρέχουν οδηγίες σχετικά με τις διαδικασίες της εταιρείας και τον τρόπο εκμετάλλευσης τους – για παράδειγμα, το άνοιγμα πλαστών λογαριασμών σε χρηματοπιστωτικά ιδρύματα – είναι η πιο συχνά πωλούμενη κατηγορία δεδομένων στις αγορές του σκοτεινού ιστού. Το μέσο κόστος ενός μεμονωμένου οδηγού είναι μόλις 3,88 δολάρια, ενώ οι συλλογές οδηγών μπορούν να πωληθούν για 12,99 δολάρια. Η έκθεση διαπίστωσε επίσης ότι τα πρότυπα για πλαστά έγγραφα, ιστότοπους ή ακόμη και ολόκληρες εφαρμογές για κινητά μπορούν να κυμαίνονται από λίγα δολάρια έως 724 δολάρια, με μέση τιμή τα 52 δολάρια.
Τι κοστίζει μια επίθεση στον κυβερνοχώρο;
Η αγορά ενός μεμονωμένου κομματιού κακόβουλου λογισμικού ή ακόμη και ενός πλήρους κιτ phishing δεν είναι αρκετή για να ξεκινήσει μια επίθεση: οι επιθέσεις απαιτούν φιλοξενία, κανάλια διανομής, συσκότιση για το κακόβουλο λογισμικό, ελεγκτές λογαριασμών και πολλά άλλα. Στη νέα έκθεση, Black-market ecosystem: Estimating the cost of «Pwnership», η Deloitte προχώρησε πέρα από την απλή απαρίθμηση του αποσπασματικού κόστους και υπολόγισε το συνολικό κόστος των επιχειρήσεων – από το κακόβουλο λογισμικό και τα keyloggers μέχρι πράγματα όπως η φιλοξενία domain, τα proxy, τα VPN, η διανομή ηλεκτρονικού ταχυδρομείου, η συσκότιση κώδικα και άλλα – για τους φορείς απειλών έτσι ώστε να ξεκινήσουν μια πλήρη εκστρατεία κατά οργανισμών.
«Οι ομάδες που βρίσκονται πίσω από αυτού του είδους τις μεγάλες εκστρατείες χρειάζονται πολλαπλά επίπεδα υπηρεσιών», λέει ο Λουσιφ Καρούνι, επικεφαλής της υπηρεσίας πληροφοριών απειλών της Deloitte Cyber Risk Services. «Για μια επιχείρηση που θέλει να παραδώσει ένα τραπεζικό Trojan, θα πρέπει να χρησιμοποιήσει τουλάχιστον πέντε ή έξι υπηρεσίες».
Η έκθεση διαπίστωσε ότι ο σκοτεινός ιστός κατακλύζεται από μια ποικιλία εύκολα προσβάσιμων υπηρεσιών που ανταποκρίνονται στις επιμέρους ανάγκες του επιτιθέμενου, με τιμολόγηση που εξυπηρετεί όλα τα επίπεδα επένδυσης. Χρειάζεστε έναν παραβιασμένο διακομιστή για να εξαπολύσετε μια επίθεση phishing με keylogging; Εύκολα. Θέλετε να εκτελέσετε τη δική σας εκστρατεία Trojan απομακρυσμένης πρόσβασης; Κανένα πρόβλημα.
Ολόκληρες εκστρατείες μπορούν, σε ορισμένες περιπτώσεις, να κοστίζουν όσο ένα καλό γεύμα. Ακολουθούν μερικά παραδείγματα:
- Μια ολοκληρωμένη εκστρατεία phishing που περιλαμβάνει φιλοξενία, κιτ phishing: 500 δολάρια ανά μήνα κατά μέσο όρο με τιμές που ξεκινούν από 30 δολάρια ανά μήνα.
- Μια εκστρατεία κλοπής πληροφοριών/keylogging (κακόβουλο λογισμικό, φιλοξενία και διανομή): $723 κατά μέσο όρο με τιμές που ξεκινούν από $183
- Επιθέσεις Ransomware και Trojan απομακρυσμένης πρόσβασης: 1.000 δολάρια κατά μέσο όρο για μια εκστρατεία
- Καμπάνια τραπεζικού Trojan: αρχική δαπάνη περίπου 1.400 δολάρια, αλλά μπορεί να φτάσει και τα 3.500 δολάρια
Ανεβαίνουν οι τιμές για τις «premium υπηρεσίες»
Διαφορετικοί φορείς παρέχουν διαφορετικές ποιότητες προϊόντων και υπηρεσιών. Υπάρχουν φθηνότερες, λιγότερο εξελιγμένες επιλογές – ορισμένα κιτ ransomware λειτουργούν χωρίς προκαταβολή και αντ’ αυτού λαμβάνουν μερίδιο από τα κέρδη, μειώνοντας ουσιαστικά την προκαταβολή στο μηδέν – αλλά προσφέρουν μικρότερη απόδοση και είναι πιο πιθανό να αποτραπούν από τους αμυνόμενους. Η δαπάνη για premium υπηρεσίες αυξάνει τις πιθανότητες επιτυχίας και την υψηλή απόδοση της επένδυσης. Συχνά ο πιο περίπλοκος παράγοντας για τους φορείς απειλών είναι η συρραφή των διαφόρων στοιχείων σε μια ολοκληρωμένη επίθεση.
Σύμφωνα με την Egress, η ετήσια ενοικίαση εργαλείων ransomware – συμπεριλαμβανομένων της υποστήριξης πελατών, της κρυπτογράφησης εκτός σύνδεσης, του dropper και των υπηρεσιών συσκότισης – μπορεί να φτάσει τα 1.900 δολάρια, αλλά τα βασικά μηνιαία πακέτα μπορούν να ξεκινήσουν από 120 δολάρια. Είναι ενδιαφέρον ότι το κόστος των έτοιμων πακέτων phishing έχει αυξηθεί τους τελευταίους μήνες.
Μια έκθεση της Group IB διαπίστωσε ότι η μέση τιμή ενός κιτ phishing υπερδιπλασιάστηκε μεταξύ 2018 και 2019, καθώς αυξήθηκε από 122 σε 304 δολάρια, εν μέρει λόγω των ολοένα και πιο πολύπλοκων μεθόδων που απαιτούν οι επιτιθέμενοι για να παρακάμψουν τους ελέγχους phishing. Ωστόσο, διαπίστωσε επίσης ότι ο αριθμός των παραγόντων που πωλούν κιτ είχε διπλασιαστεί – περίπου 16.200 μοναδικά κιτ phishing εντοπίστηκαν από την εταιρεία – ενώ τα κιτ phishing χωρίς αρχικό κόστος που χρησιμοποιούν σχήματα καταμερισμού εσόδων εξακολουθούν να είναι διαθέσιμα. Ενώ η τιμή τους έχει αυξηθεί ελαφρώς, τα φθηνότερα πληρωμένα κιτ εξακολουθούν να διατίθενται για 20 δολάρια μόλις.
Παρομοίως, το κόστος για την εξαπόλυση επιθέσεων άρνησης παροχής υπηρεσιών έχει αυξηθεί τόσο στην ανώτατη κατηγορία, καθώς οι επιτιθέμενοι απαιτούν μεγαλύτερη πολυπλοκότητα έναντι των σύγχρονων τεχνολογιών άμυνας, αλλά έχει μειωθεί σχεδόν στο μηδέν για τις μη εξελιγμένες προσφορές. Η ενοικίαση μιας επίθεσης DDoS μπορεί να ξεκινήσει από μόλις 35 σεντς για μια επίθεση διάρκειας 10 λεπτών, σύμφωνα με το Flashpoint, με τις τιμές να φτάνουν πάνω από 100 δολάρια για μια ολόκληρη ημέρα (με τις πραγματικές τιμές να ποικίλλουν ανάλογα με το μέγεθος της επίθεσης και τον επιδιωκόμενο στόχο τους). Η εταιρεία αναφέρει ότι η υψηλότερη τιμολόγηση για τέτοιες επιθέσεις το 2017 ήταν περίπου 27 δολάρια.
Τι πρέπει να γνωρίζει ο επικεφαλής ασφαλείας για τις αγορές εγκλημάτων στον κυβερνοχώρο
Οι φτηνές, απλές επιθέσεις, λέει ο Κιθ Μπρόγκαν, επικεφαλής υπηρεσιών διαχείρισης απειλών στην Deloitte Cyber Risk Services, δεν πρέπει να ανησυχούν υπερβολικά τις ομάδες πληροφορικής. «Αν έχετε τις λειτουργίες ασφαλείας σας σε καλή κατάσταση, η πλειονότητα αυτών των επιθέσεων τύπου έως 100 δολαρίων αντιμετωπίζεται από βασικούς ελέγχους ασφαλείας. Τότε μπορείς να επικεντρωθείς στη λήψη της απόφασης για το ποιες είναι οι πιο προηγμένες απειλές για τις οποίες πρέπει πραγματικά να ανησυχώ; Στη συνέχεια, θα ασχοληθούμε με το ποιοι είναι [οι] φορείς απειλών που με κυνηγούν ως οργανισμό, τι μπορεί να τους ενδιαφέρει, πώς αυτοί οι φορείς απειλών χρησιμοποιούν αυτούς τους τύπους διευκολύνσεων για να εξαπολύσουν επιθέσεις στο παρελθόν και πώς θα μπορούσαν [να το κάνουν] στο μέλλον».
Σύμφωνα με τον Μπρόγκαν, το να γνωρίζετε όσο το δυνατόν περισσότερα για τους παρόχους εγκληματικών υπηρεσιών είναι εξίσου σημαντικό με το να γνωρίζετε για τους φορείς απειλών που τους χρησιμοποιούν εναντίον του δικτύου σας.
«Αν ήμουν CSO [επικεφαλής ασφαλείας], η ομάδα πληροφοριών μου θα επικεντρωνόταν πραγματικά σε κάθε μία από αυτές τις υπηρεσίες που επιτρέπουν την πρόσβαση. Θα ήθελα να γνωρίζω τους σημαντικότερους «αλεξίσφαιρους» οικοδεσπότες εκεί έξω, όλα τα proxy, τις υπηρεσίες ανακατεύθυνσης της κυκλοφορίας, τον τρόπο λειτουργίας των ελεγκτών λογαριασμών. Θα ήθελα να γνωρίζω όλες τις υπηρεσίες DDoS που υπάρχουν», λέει ο Μπρόγκαν. «Στη συνέχεια, θα συνέδεα αυτά τα πράγματα με τις άμυνές μου – θα κατανοούσα το οικοσύστημα, θα καταλάβαινα πώς λειτουργούν αυτές οι υπηρεσίες που διευκολύνουν τη λειτουργία τους και θα οργάνωνα τις άμυνές σας και τα εργαλεία ορατότητάς σας ενάντια σε αυτά».
Ακόμα κι αν είναι δύσκολο να κάνετε το κόστος της επιχειρηματικής δραστηριότητας πολύ υψηλό για τους εγκληματίες, όταν είναι απλά τόσο φθηνό, μπορείτε να κάνετε τον οργανισμό σας λιγότερο ελκυστικό στόχο για τους απλούς επιτιθέμενους. Ένα παράδειγμα θα ήταν να εξετάσετε πώς λειτουργούν οι ελεγκτές λογαριασμών, οι οποίοι τρέχουν αυτόματα τα διαπιστευτήρια έναντι των συστημάτων σύνδεσης, και στη συνέχεια να βρείτε πιθανούς τρόπους για να μπλοκάρετε ή να μειώσετε την αποτελεσματικότητά τους.
«Ο χρόνος είναι χρήμα», λέει ο Μπρόγκαν, «και αν πρόκειται να κοστίσει σε κάποιον πολύ χρόνο για να εκτελέσει την απειλή του, αυτό είναι το ίδιο με την αύξηση του κόστους του».