Le aziende spendono cifre importanti per difendere le loro reti e risorse dalle minacce informatiche. Kaspersky Labs ha stimato che il budget per la sicurezza all’interno delle aziende è di circa 9 milioni di dollari all’anno. Inoltre, le violazioni dei dati possono costare alle aziende milioni di dollari. Tuttavia, strumenti di hacking standardizzati, pronti all’uso e relativamente facili da usare, rendono incredibilmente bassa la soglia d’ingresso alla cyber criminalità.

Gli attacchi sono più economici della sicurezza informatica

Il bilancio tra attacco e difesa è semplicemente ingiusto. Gli aggressori possono permettersi di vendere dati a pochi spiccioli, mentre i costi per le aziende e le singole vittime colpite da cyber criminali è più elevato.

Top10VPN ha stimato che il costo dell’intera identità digitale di una persona – inclusi gli accessi a servizi online come Amazon, Uber, Spotify, Gmail, Paypal, Twitter e persino GrubHub e match.com – vale appena 1.000 dollari. Considerando i singoli accessi tutto, tranne un account di shopping online o finanziario (come PayPal), vale meno di 100 dollari.

Il report Black Market di Armour ha rilevato che informazioni di identificazione personale (PII), sebbene più costose, valgono meno di 200 dollari per record sul dark web. Ci sono informazioni su carte di credito Visa e Mastercard disponibili per 10 dollari per record. Anche le informazioni bancarie per interi account valgono solo 1.000 dollari. In molti casi, le vecchie informazioni vengono offerte gratuitamente. Ciò contrasta nettamente con le sanzioni inflitte alle imprese che subiscono violazioni di dati. Secondo l’ultimo report Cost of a Data Breach di IBM, il costo medio per un’azienda è di 233 dollari per record perso, cifra che può essere molto più alta nei settori strettamente regolamentati.

L’Hacking Tools Price Index di Top10VPN ha rilevato malware disponibile per 45 dollari, mentre si possono acquistare tutorial su come costruire attacchi a soli 5 dollari. Le rare volte in cui ai criminali è richiesto di pagare più di 1.000 dollari per ogni singolo componente è per exploit zero-day (circa 3.000 dollari) o kit di per intercettare i dati delle chiamate (qui il costo sale a oltre 28.000 dollari).

Ma acquistare un singolo pezzo di malware o un kit completo di phishing non è sufficiente per lanciare un attacco: gli attacchi richiedono hosting, canali di distribuzione, offuscamento di malware, controlli degli account e altro ancora.

Nel suo nuovo report Black-market ecosystem: Estimating the cost of “Pwnership”, Deloitte è andata oltre il semplice elenco delle spese e ha invece calcolato il costo totale delle operazioni – da malware e keylogger a cose come hosting di domini, proxy, VPN, distribuzione e-mail, offuscamento del codice e altro ancora – che devono sostenere gli autori delle minacce che lanciano una campagna completa contro le aziende.

I gruppi dietro questo tipo di campagne di grandi dimensioni necessitano di diversi livelli di servizi”, afferma Loucif Kharouni, leader dell’intelligence sulle minacce presso Deloitte Cyber Risk Services. “Per distribuire un trojan bancario è necessario utilizzare almeno cinque o sei servizi”.

Quanto costa un attacco informatico?

Il report ha rilevato che il dark web è pieno di una varietà di servizi facilmente accessibili per soddisfare le esigenze specifiche dell’aggressore, con prezzi che soddisfano tutti i livelli di investimento. Hai bisogno di un server compromesso per lanciare un attacco di phishing keylogger? Facile. Vuoi eseguire la tua campagna Trojan di accesso remoto? Non c’è problema.

Intere campagne possono, in alcuni casi, costare come una cena al ristorante. Ecco alcuni esempi:

  • una campagna di phishing totale, inclusi hosting e kit di phishing: in media 500 dollari al mese, con prezzi a partire da 30 dollari al mese
  • una campagna di furto di informazioni/keylogging (malware, hosting e distribuzione): in media 723 dollari, con prezzi a partire da 183 dollari
  • ransomware e attacchi Trojan ad accesso remoto: in media 1.000 dollari a campagna
  • campagna Trojan bancario: investimento iniziale di circa 1.400 dollari, ma può arrivare a 3.500 dollari

La soglia d’ingresso alla criminalità informatica si sta abbassando

Deloitte ha stimato che anche un attacco informatico di fascia bassa che costa solo 34 dollari al mese può rendere 25.000 dollari, mentre gli attacchi più costosi e sofisticati che costano alcune migliaia di dollari possono rendere fino a 1 milione di dollari al mese.

Per contro, IBM stima che per un’azienda il costo medio di una violazione dei dati è intorno ai 3,86 milioni di dollari.

Il basso costo di ingresso, la relativa facilità con cui possono essere lanciati gli attacchi e gli alti rendimenti indicano che il potenziale pool di attori delle minacce informatiche non è limitato dal livello di abilità tecnica. “Se confrontiamo la soglia d’ingresso di tre anni fa con quella attuale, ci rendiamo conto che molti di questi servizi mirati non esistevano nemmeno o stavano appena iniziando a entrare nel mercato”, afferma Keith Brogan, esperto di managed threat services di Deloitte Cyber Risk Services.

Il basso costo e l’alto tasso di rendimento significano che la disparità tra i profitti dei criminali rispetto al costo della riparazione del danno è enorme”, afferma Oliver Rochford, direttore di ricerca presso Tenable.

Con il ransomware, per esempio, anche con un tasso di pagamento dello 0,05%, il ROI è stimato a oltre il 500%. Mentre il fatturato globale stimato del crimine informatico è di circa 1,5 trilioni di dollari, Rochford afferma che il costo del danno è superiore a 6 trilioni di dollari.

Considerando che Gartner stima che la dimensione totale del mercato della cibersicurezza nel 2019 sia stata di 136 miliardi di dollari, ciò significa che ogni 12 dollari di entrate del crimine informatico è stato speso solo 1 dollaro per la sicurezza informatica.

Proprio come nello spazio dei distributori di sicurezza, il mercato dei servizi della criminalità informatica è pieno di piccoli operatori. Il dark web, secondo il rapporto Deloitte, è “un’economia sotterranea molto efficiente in cui gli attori delle minacce si specializzano in un prodotto o servizio, invece di cercare di diversificare la loro competenza in discipline diverse e altamente tecniche”.

Questo significa minori costi e meno lavoro, permettendo ai criminali informatici di concentrarsi sul fare poche cose, ma davvero, davvero bene”, aggiunge Brogan. “E anche la necessità di avere meno connessioni nell’ecosistema criminale, il che garantisce meno rischi”.

Diversi attori offrono diversi gradi di prodotto e servizio. Sono disponibili opzioni più economiche e meno sofisticate – alcuni kit di ransomware funzionano senza costi iniziali e richiedono solo una quota sui profitti – ma offrono meno ritorno e hanno maggiori probabilità di essere contrastati dai difensori. Al contrario, investire in servizi “premium” aumenta le possibilità di successo e un elevato ritorno sugli investimenti. Spesso il fattore più complicato per gli attori delle minacce è ricucire i diversi componenti di un attacco completo.

Ciò che bisogna sapere sui mercati della criminalità informatica

Gli attacchi semplici e economici, che costano ai criminali meno di 100 dollari, non dovrebbero preoccupare troppo i team IT”, afferma Brogan. “Le misura standard di sicurezza aziendale riescono a respingere la maggior parte di questi attacchi”.

I responsabili della sicurezza dovrebbero quindi concentrarsi su alcuni punti chiave. Brogan suggerisce di porsi domande del tipo: quali sono le minacce più avanzate di cui l’azienda deve davvero preoccuparsi? Chi sono gli attori della minaccia che ci inseguono come azienda? A cosa potrebbero essere interessati? In che modo sono stati lanciati attacchi in passato e come potrebbero esserli in futuro?

Secondo Brogan, conoscere il più possibile i fornitori di servizi criminali è importante quanto conoscere gli attori delle minacce che li impiegano contro la propria rete. “Normalmente si trascura questo livello e non ci si rende conto che queste piccole operazioni sono davvero una minaccia per le aziende”, sottolinea il manager.

Se fossi un CSO, vorrei che il mio team di intelligence conoscesse tutti i principali servizi di hosting, i proxy, i servizi di reindirizzamento del traffico e i servizi DDoS disponibili, oltre a come funzionano i verificatori di account”, afferma Brogan. “Quindi assocerei queste cose alle mie difese. E’ importante comprendere l’ecosistema, capire come funzionano questi canali abilitanti e organizzare le proprie difese e strumenti di visibilità contro di essi”.

E’ difficile neutralizzare i criminali informatici, ma si può rendere la propria azienda un obiettivo meno allettante. Un esempio potrebbe essere il modo in cui funzionano i verificatori di account, che eseguono automaticamente le credenziali sui sistemi di accesso, e quindi trovano i modi potenziali per bloccarne o ridurne l’efficacia. “Il tempo è denaro”, dice Brogan. “Una minaccia che richiede molto tempo per essere messa in pratica è una minaccia ‘costosa’ per i cyber criminali. E i costi alti potrebbero scoraggiarli”.

Rochford di Tenable afferma che l’aumento del costo per i criminali riduce inevitabilmente il ROI, il che alla fine rende l’azienda un target meno interessante. “Un’azione più incisiva da parte dei normatori e delle forze dell’ordine potrebbe ridurre le dimensioni del mercato criminale”, afferma Rochford, “ma i CSO devono gestire bene la loro strategia di sicurezza, in particolare eseguendo tutte le patch necessarie e ritirando tutti i prodotti e le applicazioni obsoleti”.

Si tratta di una gestione intelligente del ciclo di vita. Sfruttare i prodotti legacy o a fine vita genera comunque un ROI positivo per i criminali, quindi assicuratevi che Flash e Internet Explorer vengano rimossi dai dispositivi”, conclude. “Se non ci riuscite, assicuratevi che non siano connessi a Internet. Seguite i consigli dei fornitori su patching e ritiro dei prodotti”.