Los criminales “siguen el dinero” comercializando ciberdelincuencia
Sophos, experto mundial en innovación y entrega de ciberseguridad como servicio, publicó su Informe de amenazas Informe de Amenazas 2023 . El informe detalla cómo el panorama de las ciberamenazas ha alcanzado un nuevo nivel de comercialización y comodidad para los posibles atacantes, con casi todas las barreras de entrada para cometer delitos cibernéticos eliminadas a través de la expansión de los delitos cibernéticos como servicio. El informe también aborda cómo el ransomware sigue siendo una de las mayores amenazas de cibercrimen para las organizaciones con operadores que innovan en sus tácticas de extorsión, así como cómo la demanda de credenciales robadas sigue creciendo.
Los mercados clandestinos criminales como Genesis hacen posible desde hace mucho la compra de malware y servicios de despliegue de malware (“malware como servicio”), así como la venta masiva de credenciles robadas y otros datos. En la última década, con la creciente popularidad del ransomware, surgió toda una economía de “ransomware como servicio”. Ahora, en 2022, este modelo “como servicio” se ha ampliado, y casi todos los aspectos del juego de herramientas de ciberdelincuencia, desde la infección inicial hasta las formas de evitar la detección, están disponibles para su compra.
“No se trata sólo de lo habitual, como el malware, los estuches de scamming y phishing para la venta”, dijo Sean Gallagher, investigador principal de amenazas de Sophos. “Los cibercriminales de más alto nivel están vendiendo herramientas y capacidades que alguna vez estuvieron únicamente en manos de algunos de los atacantes más sofisticados como servicios a otros actores. Por ejemplo, el año pasado vimos anuncios de OPSEC-as-a-service donde los vendedores ofrecieron ayudar a los atacantes a ocultar infecciones de Cobalt, y vimos el escaneado-a-service, que da a los compradores acceso a herramientas comerciales legítimas como Metasploit, para que puedan encontrar y luego explotar vulnerabilidades. La mercantilización de casi todos los componentes de la ciberdelincuencia está afectando al panorama de amenazas y abriendo oportunidades para cualquier tipo de atacante con cualquier nivel de habilidad”.
Con la expansión de la economía “como servicio”, los mercados de cibercriminales clandestinos también se están mercantilizado cada vez más y funcionan como empresas convencionales. Los vendedores de ciberdelincuencia no solo anuncian sus servicios, sino que también publican ofertas de trabajo para reclutar atacantes con distintas habilidades. Algunos mercados ahora tienen páginas dedicadas a la búsqueda de ayuda y personal de contratación, mientras que los buscadores de empleo están publicando resúmenes de sus habilidades y calificaciones.
“Los primeros operadores de ransomware estaban bastante limitados en cuanto a lo que podían hacer porque sus operaciones estaban centralizadas; los miembros del grupo estaban llevando a cabo todos los aspectos de un ataque. Pero a medida que el ransomware se volvió enormemente rentable, buscaron maneras de escalar sus producciones. Así que comenzaron a externalizar partes de sus operaciones, creando una infraestructura completa para soportar el ransomware. Ahora, otros cibercriminales han tomado una señal del éxito de esta infraestructura y están siguiendo su ejemplo”, dijo Gallagher.
De hecho, a medida que la infraestructura del cibercrimen se ha expandido, el ransomware ha seguido siendo muy popular y altamente rentable. Durante el último año, los operadores de ransomware han trabajado en la expansión de su servicio de ataque potencial apuntando a plataformas distintas de Windows, al tiempo que también han adoptado nuevos lenguajes como Rust and Go para evitar la detección. Algunos grupos, en particular Lockbit 3,0, han diversificado sus operaciones y han creado formas más “innovadoras” de extorsionar a las víctimas.
“Cuando hablamos de la creciente sofisticación de la clandestinidad criminal, esto se extiende al mundo del ransomware. Por ejemplo, Lockbit 3,0 ahora ofrece programas de recompensa de errores para su malware e ideas de ‘búsqueda masiva’ para mejorar sus operaciones desde la comunidad criminal. Otros grupos han pasado a un «modelo de suscripción» para acceder a sus datos de fugas y otros los están subastando. El ransomware se ha convertido, ante todo, en un negocio”, dijo Gallagher.
La evolución de la economía subterránea no sólo ha incentivado el crecimiento del ransomware y la industria “como servicio”, sino que también ha aumentado la demanda de robo de credenciales. Con la expansión de los servicios web, varios tipos de credenciales, especialmente cookies, se pueden utilizar de numerosas maneras para obtener una mayor presencia en las redes, incluso pasando por alto la MFA. El robo de credenciales también sigue siendo una de las formas más fáciles para que los delincuentes novatos puedan acceder a mercados subterráneos y comenzar su “carrera”.
Sophos también analizó las siguientes tendencias:
- La guerra en Ucrania tuvo repercusiones mundiales en el panorama de las cyberamenazas. Inmediatamente después de la invasión, hubo una explosión de estafas motivadas financieramente, mientras que el nacionalismo condujo a una reorganización de alianzas criminales entre ucranianos y rusos, particularmente entre afiliados de ransomware.
- Los delincuentes continúan explotando ejecutables legítimos y utilizan “archivos binarios que viven fuera de la tierra” (LOLBins) para lanzar varios tipos de ataques, incluido el ransomware. En algunos casos, los atacantes implementan controladores de sistema legítimos pero vulnerables en ataques “bring your own driver” para intentar apagar los productos de detección y respuesta de extremos para evadir la detección.
- Los dispositivos móviles se encuentran ahora en el centro de nuevos tipos de ciberdelitos. Los atacantes no sólo siguen utilizando aplicaciones falsas para distribuir inyectores de malware, spyware y malware asociado a la banca, sino que las nuevas formas de ciberfraude han ido creciendo en popularidad, como los esquemas de “pig butchering”. Y este crimen ya no solo afecta a los usuarios de Android, sino también a los usuarios de iOS.
- La devaluación de Monero, una de las criptomonedas más populares para los criptominadores, llevó a una disminución de uno de los tipos más antiguos y populares de criptocrimen: La criptominación. Sin embargo, el malware de la minería sigue propagándose a través de “bots” automatizados en sistemas Windows y Linux.
Para obtener más información sobre el cambiante panorama de amenazas en 2022 y lo que significa para los equipos de seguridad en 2023, lea el informe completo de Reporte de Amenazas Sophos 2023.
El informe de amenazas 2023 de Sophos consiste en investigaciones y conocimientos de Sophos X-Ops, una nueva unidad operativa cruzada que enlaza a tres equipos de expertos en ciberseguridad establecidos en Sophos (SophosLabs, Sophos Secops y Sophos AI). Sophos X-Ops cuenta con más de 500 expertos en ciberseguridad de todo el mundo, equipados de forma exclusiva para ofrecer una imagen completa y multidisciplinaria de un panorama de amenazas cada vez más complejo. Para obtener más información sobre los ciberataques y los TTP diarios, siga a Sophos X-Ops en Twitter y suscríbase para recibir los artículos e informes actuales sobre investigación de amenazas y operaciones de seguridad de las principales líneas de ciberseguridad.