อาชญากรรมไซเบอร์ในรูปแบบธุรกิจบริการมีจำนวนเพิ่มมากขึ้น ข้อมูลที่จำเป็นในการจัดการโจมตีจึงเป็นที่ต้องการของอาชญากรไซเบอร์ ผู้เชี่ยวชาญของแคสเปอร์สกี้ได้วิเคราะห์โพสต์บนเว็บมืด หรือ dark web เกือบ 200 โพสต์ ที่เสนอขายข้อมูลสำหรับการเข้าถึง (access) ฟอรัมของบริษัทต่างๆ ค่าใช้จ่ายเฉลี่ยในการเข้าถึงระบบของบริษัทใหญ่ๆ อยู่ระหว่าง 2,000 - 4,000 เหรียญสหรัฐ ซึ่งถือว่าถูกมากเมื่อเทียบกับความเสียหายที่อาจเกิดขึ้นกับธุรกิจที่เป็นเป้าหมายการโจมตี บริการดังกล่าวเป็นที่สนใจของผู้ดำเนินการแรนซัมแวร์ (ransomware operator) ซึ่งผลกำไรอาจสูงถึง 40 ล้านเหรียญสหรัฐต่อปี
การวิจัยของแคสเปอร์สกี้ เรื่อง ‘How much does access to corporate infrastructure cost?’ เกี่ยวกับค่าใช้จ่ายในการเข้าถึงโครงสร้างพื้นฐานขององค์กร ระบุว่ามีความต้องการข้อมูลใน dark web เพิ่มสูง ทั้งข้อมูลที่จะได้รับจากการโจมตี รวมถึงข้อมูลและบริการที่จำเป็นในการจัดระเบียบ (เช่น ข้อมูลขั้นตอนที่จำเป็นเพื่อจัดการโจมตีแบบหลายเฟส) เมื่อผู้โจมตีเข้าถึงโครงสร้างพื้นฐานขององค์กร ก็จะสามารถขายการเข้าถึงนั้นให้กับอาชญากรไซเบอร์ขั้นสูงรายอื่นๆ ได้ เช่น ผู้ดำเนินการแรนซัมแวร์ เป็นต้น การโจมตีดังกล่าวส่งผลให้เกิดการสูญเสียทางการเงินและชื่อเสียงอย่างมีนัยสำคัญต่อองค์กรที่ตกเป็นเป้าหมาย อาจทำให้การทำงานสะดุด และกระบวนการทางธุรกิจหยุดชะงัก ธุรกิจ SMB และองค์กรเอ็นเทอร์ไพรซ์ต่างก็ตกเป็นเป้าหมายของการโจมตีประเภทนี้
ผู้เชี่ยวชาญของแคสเปอร์สกี้วิเคราะห์โพสต์ใน dark web เกือบ 200 โพสต์ ที่เสนอขายข้อมูลสำหรับการเข้าถึงฟอรัมของบริษัทในขั้นต้น โดยมีวัตถุประสงค์เพื่อกำหนดประเภทข้อมูลหลักขององค์กรที่จะขาย รวมถึงเกณฑ์ที่อาชญากรไซเบอร์ใช้ในการประเมินราคาของข้อมูลองค์กร โพสต์ส่วนใหญ่ (75%) ขายการเข้าถึงเดสก์ท็อประยะไกล (Remote Desktop – RDP) โดยให้การเข้าถึงเดสก์ท็อปหรือแอปพลิเคชันที่โฮสต์จากระยะไกล จากนั้นให้อาชญากรไซเบอร์เชื่อมต่อ เข้าถึง และควบคุมข้อมูลและทรัพยากรผ่านโฮสต์ระยะไกลราวกับว่าพนักงานของบริษัทกำลังควบคุมข้อมูลอยู่ในพื้นที่
ราคาสำหรับการเข้าถึงในครั้งแรกนั้นแตกต่างกันไปตั้งแต่ไม่กี่ร้อยไปจนถึงหลายแสนเหรียญสหรัฐ ปัจจัยสำคัญสำหรับราคาที่สูงคือรายได้ของเหยื่อ นั่นคือ ราคาจะเติบโตควบคู่ไปกับรายได้ ราคาอาจแตกต่างกันไปตามประเภทอุตสาหกรรมและภูมิภาคการดำเนินงานของบริษัทนั้น ๆ
ความสัมพันธ์ระหว่างราคาของข้อมูลการเข้าถึงเครือข่ายกับรายได้ของบริษัท
การเข้าถึงโครงสร้างพื้นฐานทางธุรกิจขนาดใหญ่มักจะมีราคาระหว่าง 2,000 - 4,000 เหรียญสหรัฐ ซึ่งเป็นราคากลางๆ แต่ก็ไม่มีการจำกัดราคาสูงสุดอย่างใดอย่างหนึ่ง ข้อมูลของบริษัทที่มีรายได้ 465 ล้านเหรียญสหรัฐจะถูกขายในราคา 50,000 เหรียญสหรัฐ
ตัวอย่างการเสนอขายข้อมูลสำหรับการเข้าถึงระยะไกลไปยังบริษัทห้าแห่งในเครือข่ายเดียวกันในราคา 50,000 เหรียญ
หนึ่งในองค์ประกอบที่สำคัญที่สุดของราคาการเข้าถึงครั้งแรก คือจำนวนเงินที่ผู้ซื้ออาจได้รับจากการโจมตีโดยใช้การเข้าถึงนั้น ผู้ดำเนินการแรนซัมแวร์พร้อมที่จะจ่ายเงินหลายพันหรือหลายหมื่นเหรียญ เพื่อโอกาสในการแทรกซึมเครือข่ายขององค์กร ซึ่งมักทำให้องค์กรที่ตกเป็นเป้าหมายต้องเสียเงินหลายล้านเหรียญสหรัฐ คาดว่าผู้โจมตีที่มีผลงานมากที่สุดในปีที่ผ่านมาอาจได้รับเงินโอน 5.2 พันล้านเหรียญสหรัฐในช่วงสามปีที่ผ่านมา
นอกจากการเข้ารหัสข้อมูลองค์กรแล้ว อาชญากรไซเบอร์ยังขโมยข้อมูลอีกด้วย โดยอาจโพสต์ข้อมูลที่ขโมยมาบางส่วนในบล็อกของตนเองเพื่อใช้เป็นหลักฐาน และเพื่อการใช้ประโยชน์อื่นๆ อีก เช่น ขู่ว่าจะเผยแพร่ข้อมูลเพิ่มเติมเว้นแต่เหยื่อจะจ่ายเงินตามที่ต้องการภายในระยะเวลาที่กำหนด
นายเซอร์เจย์ เชอร์เบล ผู้เชี่ยวชาญด้านความปลอดภัย แคสเปอร์สกี้ กล่าวว่า “ชุมชนอาชญากรไซเบอร์มีวิวัฒนาการทั้งด้านเทคนิคและจุดยืนขององค์กรด้วย วันนี้กลุ่มแรนซัมแวร์เหมือนอุตสาหกรรมจริงที่มีผลิตภัณฑ์และบริการสำหรับวางขาย เราเฝ้าติดตามฟอรัมในดาร์กเน็ตอย่างต่อเนื่อง เพื่อตรวจหาแนวโน้มและยุทธวิธีใหม่ๆ ของอาชญากรไซเบอร์ใต้ดิน เราสังเกตเห็นตลาดข้อมูลที่จำเป็นในการจัดการโจมตีเพิ่มขึ้น การเห็นแหล่งที่มาภายในเว็บมืดเป็นสิ่งสำคัญสำหรับบริษัทต่างๆ ที่ต้องการเพิ่มคลังข้อมูลภัยคุกคาม ข้อมูลในเวลาที่เหมาะสมเรื่องการโจมตีที่วางแผนไว้ การอภิปรายเกี่ยวกับช่องโหว่ และการละเมิดข้อมูลที่ประสบความสำเร็จ จะช่วยลดพื้นที่การโจมตีและนำไปสู่การดำเนินการที่เหมาะสมได้”
ฟังก์ชั่นการค้นหา dark web ที่นำมาใช้ภายในพอร์ทัล Kaspersky Threat Intelligence Portal ให้การเข้าถึงข้อมูลเชิงลึกจากแหล่งต่างๆ ที่ผ่านการตรวจสอบทั่วโลก ซึ่งช่วยให้บริษัทต่างๆ สามารถบรรเทาผลกระทบจากการโจมตีทางไซเบอร์และระบุภัยคุกคามที่อาจเกิดขึ้นได้ก่อนที่จะกลายเป็นเหตุการณ์โจมตีอ่านรายงานฉบับสมบูรณ์ เรื่องตลาดมืดข้อมูลบริษัทได้ที่ Securelist.com
https://securelist.com/initial-access-data-price-on-the-dark-web/106740/
COMMENTS