Home > Gestão

Quanto custa lançar um ataque cibernético?

Assim como acontece nas empresas, cibercriminosos têm um custo de operação e um retorno sobre o investimento para se preocupar

Dan Swinhoe, CSO Online

14/11/2019 às 16h28

Foto: Shutterstock

Infelizmente, um novo relatório da Deloitte descobriu que os custos para cometer crimes cibernéticos é - incrivelmente - baixo. As empresas gastam muito para defender as suas redes e ativos de ameaças cibernéticas.

A Kaspersky Labs descobriu que os orçamentos de segurança dentro das empresas, em média, fica em torno de US$ 9 milhões por ano. Além disso, as violações de dados custam às organizações milhões de dólares. Por outro lado, as ferramentas dos hackers são baratas e relativamente fáceis de usar, tornando as invasões ainda mais simples.

Ataques cibernéticos são mais baratos que a cibersegurança

A matemática do ataque contra a defesa é injusta. Os invasores podem se dar ao luxo de vender os ativos conquistados nos araques, mas os custos para os negócios (e para a vítima, se as suas informações forem exploradas) é muito maior.

O Top10VPN estimou que o custo de toda a identidade digital de uma pessoa - incluindo logins de serviços online como Amazon, Uber, Spotify, Gmail, Paypal, Twitter e até GrubHub e match.com - mal vale US$ 1 mil. Já todas as informações, exceto dados de conta de compras ou finanças online, como o PayPal, valem menos de US$ 100.

O relatório do Armour Black Market encontrou informações de identificação pessoal (PII), que embora mais caras, ainda valem menos de US$ 200 na dark web. Informações de cartão de crédito Visa e Mastercard estão disponíveis por US$ 10. Até as informações bancárias de contas inteiras valem apenas US$ 1 mil. Em muitos casos, informações antigas são simplesmente distribuídas gratuitamente. Isso contrasta fortemente com as penalidades para as empresas pela violação de dados.

De acordo com o relatório Cost of a Data Breach da IBM, o custo médio para uma empresa por registro perdido é de US$ 233 - e pode ser muito maior em setores estritamente regulamentados.

O Índice de Preços das Ferramentas de Hacking do Top10VPN encontrou malware disponível por apenas US$ 45, e os tutoriais sobre como criar ataques estão disponíveis por apenas US $5.

Em um novo relatório, Ecossistema do mercado negro: estimando o custo de "Pwnership", a Deloitte foi além de apenas listar os custos fragmentados e, em vez disso, calculou o custo total das operações - de malware e keyloggers a recursos como hospedagem de domínio, proxies, VPNs, distribuição de e-mail, ofuscação de código e muito mais - para que os cibercriminosos iniciem uma campanha completa contra as organizações. "Os grupos por trás desses tipos de grandes campanhas precisam de várias camadas de serviços", diz Loucif Kharouni, líder em inteligência de ameaças da Deloitte Cyber ​​Risk Services. Para que uma operação forneça um Trojan bancário, você precisa usar pelo menos cinco ou seis serviços.”

Quanto custa um ataque cibernético?

O relatório constatou que a dark web está repleta de uma variedade de serviços facilmente acessíveis para atender às necessidades individuais do invasor, com preços que acomodam todos os níveis de investimento. Precisa de um servidor comprometido para iniciar um ataque de phishing de keylogging? Fácil. Deseja executar sua própria campanha Trojan de acesso remoto? Tranquilo. Campanhas inteiras podem, em alguns casos, custar o mesmo que uma boa refeição. Aqui estão alguns exemplos:

Uma campanha total de phishing, incluindo hospedagem, kit de phishing: US$ 500 por mês, em média, com preços a partir de US$ 30 por mês. Uma campanha de roubo de informações / keylogging (malware, hospedagem e distribuição): US$ 723 em média, com preços a partir de US$ 183. Ataques de Ransomware e Trojan de acesso remoto: média de US$ 1 mil para uma campanha. Campanha de Trojan bancário: um desembolso inicial de cerca de US$ 1,4 mil, mas pode chegar a US$ 3,5 mil.

Barreira de crimes cibernéticos diminuindo

A Deloitte estimou que mesmo um ataque cibernético de baixo custo, que demanda apenas US$ 34 por mês, pode retornar US$ 25 mil. Já os ataques mais caros e sofisticados, que custam alguns milhares de dólares, podem retornar até US$ 1 milhão por mês. E os negócios? A IBM estima que o custo médio para uma empresa que sofreu uma violação de dados é de US$ 3,86 milhões.

O baixo custo de entrada, a relativa facilidade com a qual os ataques podem ser implantados e os altos retornos significam que o pool potencial de cibercriminosos não é limitado pelo nível de habilidade técnica. "Se olharmos para a barreira de entrada há três anos, contra as barreiras de entrada de agora, muitos desses serviços focados não existiam ou estavam apenas começando a entrar no mercado", diz Keith Brogan, gerente líder de serviços de ameaças da Deloitte Cyber ​​Risk Services.

“Realmente não é tão caro ou difícil para os cibercriminosos ganharem dinheiro. A barreira de entrada é muito baixa. Você pode facilmente acessar esses diferentes serviços e e realmente obter lucros com bastante facilidade. Em alguns casos, você fica limitado apenas pela sua própria imaginação”, acrescenta Brogan.

Esse baixo custo e alta taxa de retorno significa que a disparidade entre o lucro obtido pelos criminosos e o custo de reparação dos danos é enorme, afirma Oliver Rochford, diretor de pesquisa da Tenable. Com o ransomware, por exemplo, mesmo com uma taxa de pagamento de 0,05%, o ROI é estimado em mais de 500%.

Enquanto a receita global estimada de crimes cibernéticos é de cerca de US$ 1,5 trilhão, os gastos com os danos são estimados em mais de US$ 6 trilhões. Assim como no setor de serviços de segurança, o mercado de serviços de crimes cibernéticos está cheio de pequenas operadoras.

A dark web, segundo relatório da Deloitte, é uma "economia subterrânea muito eficiente, na qual os agentes de ameaças se especializam em um produto ou serviço, em vez de tentar diversificar sua proficiência em várias disciplinas díspares e altamente técnicas". “É menos caro e menos trabalhoso para eles realmente se concentrarem em fazer algumas coisas muito, muito bem”, observa Brogan.

Diferentes hackers fornecem diferentes graus de produtos e serviços. Opções mais baratas e menos sofisticadas estão disponíveis - alguns kits de ransomware operam sem custo inicial e, em vez disso, são divididas partes dos lucros, mas oferecem menos retorno e são mais propensos a falhar. Frequentemente, o fator mais complicado para os cibercriminosos é juntar os diferentes componentes em um ataque completo.

O que os CISOs precisam saber sobre o mercado de crimes cibernéticos

Os ataques simples e baratos, diz Brogan, não devem preocupar muito as equipes de TI. “Se você tem suas operações de segurança em execução, a maioria desses ataques de até US$ 100 é resolvida com uma boa limpeza e controles básicos de segurança. Então você pode se concentrar em tomar a decisão sobre quais são as ameaças mais avançadas com as quais realmente precisa se preocupar. Em seguida, precisamos abordar quem são os tipos de hackers que estão atrás da organização, no que eles podem estar interessados, como eles lançaram ataques no passado e como eles poderiam atuar no futuro."

Para Brogan, conhecer o máximo possível sobre os provedores de serviços é tão importante quanto conhecer os cibercriminosos. “As pessoas não estão focadas nesse nível e, em muitos casos, não fizeram a conexão de que essas pequenas operações que estão lá fora, são realmente uma ameaça para elas." “Se eu fosse um CSO, minha equipe de inteligência estaria realmente focada em cada um desses serviços. Gosto de conhecer os principais hosters à prova de balas por aí, todos os proxies, os serviços de redirecionamento de tráfego, como funcionam os verificadores de contas. Quero saber sobre todos os serviços DDoS que existem por aí”, afirma Brogan.

"Então, eu combinaria esses aspectos com as minhas defesas - entenderia o ecossistema, entenderia como esses serviços possibilitam o trabalho e organizaria as defesas e as ferramentas contra essas práticas." Mesmo que seja difícil fazer com que o custo seja alto para os criminosos, você pode tornar a sua organização um alvo menos atraente para os hackers comuns. Um exemplo seria analisar como os verificadores de contas, que executam credenciais automaticamente nos sistemas de login, funcionam e, em seguida, encontrar maneiras de bloquear ou reduzir a sua eficácia.

"Tempo é dinheiro", observa Brogan, "e se você vai gastar muito tempo com alguém para colocar a sua ameaça em prática, vai aumentar os seus custos". Rochford, da Tenable, diz que aumentar o custo para os criminosos reduz inevitavelmente o ROI, o que, em última análise, faz de você uma proposta menos atraente em um "ambiente rico em alvos". Além disso, a criação de estratégias de recompensas por bugs pode desincentivar alguns hackers de agir ilegalmente e ajudar você a encontrar vulnerabilidades.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail