Malas nuevas: El ciberdelito sigue evolucionando.
Según un análisis de Secure List, un equipo de investigación de Kaspersky Labs, hace algunos pocos años los ciberdelincuentes probaban el mercado digital y estaban desarrollando con regularidad formas radicalmente nuevas de atacar a los usuarios y las organizaciones.
Para 2021 el mundo de la ciberdelincuencia ha madurado. Claro, también lo ha hecho la ciberseguridad, aunque la batalla sigue siendo la de “oveja amarrada, contra león suelto”.
Recordar que hace solo unos años, las organizaciones tenían poca comprensión de los peligros a los que se enfrentaban en su vida en línea. Después de oleadas de ataques notorios y devastadores, las personas se han vuelto más cautelosas y las organizaciones reconocen los posibles riesgos cibernéticos e invierten en mitigarlos.
El estudio detalla las principales conclusiones del estado del ciberdelito:
- La información se ha vuelto más accesible y eso incluye el acceso al malware.
Las herramientas maliciosas están disponibles en línea en abundancia, ya sea código fuente filtrado o publicado como malware desarrollado por ciberbandas o instrumentos legales utilizados para pruebas de penetración y analisis de vulnerabilidades. Esta accesibilidad beneficia a los ciberdelincuentes, ya que ya no necesitan invertir tiempo y recursos en escribir malware desde cero. Recordar filtraciones como las que ha sufrido la NSA con un sinnumero de herramientas y software con fines especificos, incluso artefactos de dia cero.
- Las ciberbandas como las conocíamos se han ido.
Los individuos que participan en ciberdelitos están cada vez menos atados entre sí y ya no se ven tanto identificadas en grupos estables que duran muchos años. Las organizaciones criminales van y vienen como parte de su estrategia de disuacion y ofuscacion. Incluso se ha visto que se entrelazan formando carteles para la comision de ciertos ataques, especialmente los de phishing y ransomware.
· Las ciberbandas operan como empresas que brindan diversos servicios.
Las personas involucradas en el ciberdelito se han vuelto muy efectivas en la subcontratación, centrándose en la compra de acceso a organizaciones hackeadas y en las herramientas adecuadas para explotar ese acceso. Ya no necesitan escribir codigo de malware, ni cuidar servidores físicos.
- El delito cibernético -especialmente en lengua rusa-, se ha trasladado a través del ciberespacio.
Dado que el ciberespacio carece de fronteras como las tradicionales, las limitaciones de los posibles objetivos vienen dictadas por el idioma que hablan los ciberdelincuentes; por lo tanto, la parte del mundo de habla inglesa seguirá siendo la mas atractiva. Sería presuntuoso decir que en 2016 los ciberdelincuentes de habla rusa no atacaron a los usuarios en el extranjero o que dejaron de atacar por completo a sus conciudadanos. Sin embargo, la represión por parte de las fuerzas del orden de quienes atacan organizaciones dentro de Rusia y el beneficio potencial mucho mayor de los ataques a organizaciones internacionales, ha solidificado la regla de “no trabajar en RU” y ha puesto a los ciberdelincuentes de habla rusa en el mapa mundial.
- Todo el mundo es un objetivo ahora.
Con tantas organizaciones y tantos recursos en Internet, la superficie de ataque ha crecido enormemente y el acceso a las organizaciones se ha vuelto más sencillo. Los ciberdelincuentes están dispuestos a apoderarse de prácticamente cualquier organización, a diferencia de su enfoque anterior en las organizaciones financieras. Con el ransomware, cada víctima puede aportar beneficios que suman ganancias a las ciberbandas. Las ganancias del cibercrimen son abrumadoras, lo que deviene en poderio economico para invertir en recursos, destinados a la comision de sus actos.
- La informacion sigue siendo un activo valioso.
El estado actual de la seguridad de los datos presenta un panorama sombrío. Independientemente de los esfuerzos actuales -aunque sean significativos-, realizados por los gobiernos, empresas e individuos, la propiedad industrial, intelectual, los datos personales y/o la informacion en general continúa en la línea frontal. Estos datos son la materia prima para concretar ataques. Es poco probable que esto cambie en un futuro próximo.
El estado actual del ciberdelito revela problemas de ciberseguridad de relevancia mundial. En la economía ciberdelincuente “compartida”, el seguimiento de pandillas específicas se ha vuelto más difícil, mientras que las propias bandas han dejado de ser entidades bien definidas, convirtiéndose en grupos bastante dispersos de individuos con las herramientas adecuadas, a las que es fácil acceder.
La cadena de ataque se ha optimizado con muchos roles que se han subcontratado, haciendo que los equipos sean más ágiles. Por eso hablamos hoy dia del cibercrimen como servicio. Los administradores de sistemas que se ocupan de las redes físicas ya no son necesarios y la gestión de los servicios en la nube es una tarea sencilla.
Las ciberbandas han detenido esencialmente el desarrollo de su propio software malicioso. Ahora solo necesitan un operador. La larga cadena de ataques que incluía exploits para diferentes vulnerabilidades también se ha reducido, por lo que los escritores de exploits que se centraron en el lado del cliente, han quedado fuera del negocio.
La compra de tráfico para sitios maliciosos se ha transformado en compra de datos: acceso a diferentes organizaciones, información de cuentas, etc. Estos servicios también se han subcontratado. Como resultado, para una operación exitosa en 2021, una ciberbanda necesita administración, operadores de malware, especialistas en obtener acceso a la red y especialistas financieros que se encargan de extraer y cobrar los fondos robados.
El mercado en la Dark Web también se ha transformado. Si bien, de hecho, todavía hay algunas plataformas populares donde los ciberdelincuentes pueden reunirse y ofrecer sus servicios, los jugadores serios se están moviendo cada vez más hacia las sombras. Aunque aún se pueden encontrar ofertas en los foros del inframundo sin mucho esfuerzo.
Un buen ejemplo de ello son los operadores de ransomware, que han sido expulsados de las plataformas de la Dark Web debido a que llaman mucho la atencion por mayor interés de las fuerzas del orden en la persecucion de sus actividades. Esto los ha llevado a comunicarse de forma privada. La disponibilidad de servicios de mensajería seguros también juego un papel relevante, ya que muchos grupos y ciberdelincuentes, se conectan directamente, no a través de foros.
Ya casi no vemos vulnerabilidades o exploits a la venta en la web oscura, ya que las vulnerabilidades verdaderamente valiosas, como las de día 0 son raras y se venden directamente a clientes seleccionados, mientras que las vulnerabilidades de día 1 se venden a agencias que se especializan en ellas.
Les enumeramos los servicios clave que utilizan los ciberdelincuentes:
- Cuentas listas para usar: El uso de servicios en línea como las nubes, requieren que los ciberdelincuentes tengan correos electrónicos y números de teléfono y, por razones obvias, exponerse y crear credenciales no es lo suficientemente seguro. Asi que las bases de datos con correos electrónicos y números de teléfono, siempre están en demanda.
- Acceso a inicios de sesión: Sumado, los ciberdelincuentes ofrecen credenciales robadas para todo tipo de cuentas, desde cuentas de juegos y transmisión en línea, hasta servicios bancarios y otros. Estas credenciales se pueden utilizar para una gran variedad de actividades, desde estafas, hasta extracción de fondos.
- Acceso a organizaciones: Es sin lugar a duda un tipo de oferta muy atractivo. Muchos operadores se especializan únicamente en infectar redes de grandes empresas a través de botnets o mediante la explotación de vulnerabilidades de día 1. Habiendo obtenido acceso a la red, evalúan el atractivo de la empresa y venden el acceso a otros ciberdelincuentes, que luego trabajan en la recolección o encriptación de los datos de la empresa.
- Ataques DDoS: Siguen siendo demandados, aunque la protección contra los ataques DDoS se ha vuelto más fuerte.
- Datos personales: la cantidad de datos personales disponibles en la Dark Web sigue creciendo y diversificándose. Los tipos de datos se han movido de la tarjeta o los datos de identificación, a tipos más raros, como la información médica o el acceso completo a las cuentas bancarias. El precio de estos datos comienza tan bajo como 0,5 USD por artículo.
Quizás la tendencia más aterradora de todas es lo fácil que se ha vuelto para los ciberdelincuentes obtener acceso a nuevo malware. El malware de código abierto está apareciendo en la Dark Web cada vez con más frecuencia.
Es tendencia que las ciberbandas liberen su código fuente al público de forma gratuita, lo que facilita que los nuevos jugadores comiencen su actividad cibercriminal. Los desarrolladores de Cerberus, un troyano bancario, lanzaron el código fuente de su malware en octubre de 2020, mientras que Babuk, el desarrollador del infame ransomware del mismo nombre, lanzó su código de ransomware a principios de septiembre de 2021. Solo para ilustrar con dos ejemplos.
Para empeorar las cosas, con el desarrollo de herramientas y servicios para pruebas de penetración, el mercado oscuro vio el surgimiento de nuevas herramientas maliciosas de bajo costo. Estas herramientas se desarrollan y utilizan para servicios legítimos, como evaluar la infraestructura de seguridad de los clientes y el potencial para una penetración exitosa de la red. Es decir, están destinadas a ser vendidas a una base de clientes cuidadosamente seleccionada que solo los usaría para fines legítimos. Sin embargo, inevitablemente, estas herramientas terminan finalmente en manos de los ciberdelincuentes. El caso más reciente es el de NSO y su herramienta Pegasus.
¿Sombrío?, les aseguro que se pondrá peor.