En la actualidad, la comunidad de ciberdelincuentes le cuesta a la economía mundial aproximadamente 2,9 millones de dólares por minuto. Y, debido a que cada costo suele ser el ingreso de otra persona, eso se traduce en una economía global de delitos informáticos que actualmente supera los $ 1.5 billones anuales. Es una economía de la que todos formamos parte porque somos los "clientes" reacios que pagamos rescates para que nuestros sistemas no estén cifrados o que nos roben y moneticen nuestros datos en la deep web. Si bien puede ser reconfortante imaginar que los ciberdelincuentes están desorganizados, actuando solos o en pequeños grupos, este definitivamente no es el caso. En cualquier mercado con tanto potencial, hay grandes actores, colaboradores, competidores, innovadores e influencers; el ciberdelito no es diferente.
Como nuestro objetivo es protegernos de las actividades generadoras de ingresos de los ciberdelincuentes y las maquinaciones geopolíticas de los actores del estado-nación, es importante comprender cómo se comporta la industria y hacia dónde se dirige. En la Unidad de Análisis de Amenazas del Negro de Carbón de VMware, rastreamos tendencias, detectamos tácticas emergentes y analizamos cómo el sector está girando hacia nuevos objetivos para evitar que los clientes se conviertan en víctimas.
Innovación y evolución
La relación entre los ciberdelincuentes y las víctimas se presenta a menudo como un "juego de alto riesgo" o una "batalla" entre el bien y el mal. Si bien definitivamente hay elementos de ambas metáforas, hoy es más realista ver el ciberdelito como una industria en rápido movimiento que evoluciona, innova y responde a las acciones de los competidores y clientes para desbloquear nuevas oportunidades de ingresos, sudar activos y monetizar más actividades.
La evolución del ransomware es un buen ejemplo. Históricamente, el ransomware se distribuía en gran medida de forma indiscriminada con la esperanza de que alguien hiciera clic en un enlace malicioso y lanzara la carga útil que cifraría los sistemas e iniciaría una demanda de rescate.
Sin embargo, los defensores han respondido a este enfoque mejorando las herramientas anti-phishing, educando a los empleados sobre cómo detectar mensajes sospechosos y fortaleciendo las soluciones de respaldo para que la recuperación de datos y sistemas sea posible sin tener que pagar necesariamente un rescate. Esto planteó un problema para los atacantes, que se enfrentaban a una disminución de las oportunidades de ganancias.
Para resolver esto, los adversarios han evolucionado y refinado su enfoque hacia una operación práctica y mucho más personalizada. Ahora, el primer paso es obtener acceso inicial a la red de destino, más comúnmente a través de exploits conocidos de escritorio remoto y concentrador de VPN, y realizar un reconocimiento para descubrir los activos que contiene, que a veces incluso residen dentro de la red durante meses. El acceso de puerta trasera se establece para que el atacante pueda volver a visitar el objetivo, considerando que su principal medio de acceso puede terminarse en cualquier momento. Luego, los datos se exfiltran silenciosamente. Solo entonces se implementa la carga útil del ransomware. Ahora el atacante tiene varias oportunidades para monetizar y sudar los activos que adquirió.
- Convencional: pago directo de rescate de la víctima a cambio de descifrar el sistema.
- Extorsión: si la víctima se resiste, amenaza con publicar datos robados, alertando así a las autoridades reguladoras y a los clientes sobre la violación de datos y / o divulgando secretos comerciales, con las multas, sanciones y daños a la reputación asociados. Se paga el rescate, pero el truco es que el atacante todavía tiene sus datos y no hay nada que le impida repetir sus demandas.
- Vender los datos robados en un mercado de la deep web: los datos relacionados con la propiedad intelectual, como las formulaciones médicas, tendrán un precio elevado
- Minería de acceso: vende el acceso a la red comprometida a terceros en la web oscura para que puedan realizar su propio ataque. Esto a menudo se hace antes de que el grupo Ransomware obtenga acceso, especialmente cuando el atacante está aprovechando Ransomware como servicio.
Esta evolución en el enfoque es la razón por la que es tan importante que se emprenda una respuesta completa a los incidentes después de un ataque para eliminar el malware persistente. Así como las copias de seguridad han venido al rescate de las víctimas, los actores malintencionados también tienen como objetivo sincronizar su malware con las copias de seguridad a fin de probar repetidamente la cereza. Este es solo un ejemplo de cómo la industria del ciberdelito innova para resolver los problemas que los defensores le plantean.
Programas de contratación y afiliación
Liderando el impulso de la innovación están las grandes "marcas" de la industria. Estos son grupos bien conocidos que realizan campañas importantes y generan millones en ingresos. Nombres como MAZE, Ragnar Locker REvil y Sandworm Team, respaldado por el estado ruso, son atractivos para el talento de los piratas informáticos y los grupos ejecutan programas de reclutamiento para identificar nuevos afiliados capacitados. Están operando como empresas multimillonarias e incluso, en algunos casos, como cárteles.
Estos grupos no quieren ser infiltrados, por lo que los procesos de selección de entrevistas de reclutamiento a menudo incluyen preguntas en ruso formuladas en contexto, que solo los hablantes nativos pueden responder. A esto le siguen preguntas técnicas para asegurar al grupo que el recluta potencial agregará valor.
Pasar el proceso de selección vale más que la pena para los nuevos reclutas. Armados con datos e inteligencia interna, los grupos han acumulado de ataques anteriores y llevan a cabo campañas lucrativas, con informes que sugieren que las ganancias de los afiliados por comprometer objetivos estadounidenses pueden alcanzar sumas de $ 7-8 millones. No hay duda de que se trata de empresas y que se están ampliando.
El efecto de goteo: habilitando actores menos capacitados
En todas las industrias vemos verdaderos innovadores y seguidores rápidos, con experiencia que se filtra a través de la comunidad; el ciberdelito no es diferente. Las técnicas de ataque que se han desarrollado y hecho públicas se asimilan y mercantilizan rápidamente para hacerlas accesibles a una gama más amplia de actores y, por lo tanto, hacer crecer la economía del delito cibernético.
El auge del ransomware como servicio y la minería de acceso como servicio permite a los grupos monetizar estos servicios sin realizar campañas ellos mismos. Hoy en día, un actor no calificado podría comprar credenciales de acceso a una corporación mediana por $ 1000, alquilar ransomware como servicio por $ 5000, luego exfiltrar datos y lanzar un ataque de extorsión doble para obtener una recompensa de $ 50,000 +. Esta es una pequeña inversión por una gran recompensa potencial.
Esto significa que, a medida que nuestra superficie de ataque continúa expandiéndose a través del despliegue de dispositivos IoT y el trabajo masivo en el hogar, la población de actores de amenazas cibernéticas capaces de atacar esa red también está creciendo.
En esta industria, el papel de "víctima" o "cliente", como algunos grupos se refieren a sus objetivos, es fundamental para su éxito. A medida que desarrollamos nuevas defensas, la oportunidad de mercado se reduce, hasta que una innovación encuentra una manera de superarlas o monetizarlas de una manera diferente.
En este momento, debido a que los actores calificados de la economía se centran en pasar desapercibidos cuando obtienen acceso a su red, para que puedan venderla con fines de lucro, no sabrá que está a punto de convertirse en un "cliente" hasta que se lanza el ataque de ransomware, mucho después de que sus datos hayan desaparecido.
Salir de esta base de objetivos no dispuestos no es fácil. Requiere vigilancia contra ataques sofisticados de gran volumen y, al mismo tiempo, se asegura de que no tenga ninguna fruta madura expuesta a Internet. Estos provienen de una multitud de vectores: recientemente hemos sido testigos de un aumento en los grupos que usan EMOTET para abrir viejas conversaciones en Office365, por lo que las víctimas piensan que se están comunicando con un contacto conocido, hasta que se entrega la carga útil maliciosa. Estar alerta a estas técnicas de tendencia es esencial para refinar las tácticas de defensa. Y para reiterar, la respuesta activa a incidentes con análisis forense para eliminar las copias de seguridad de malware es fundamental después de cualquier incidente para evitar que los adversarios vuelvan a entrar.
Nadie quiere ser parte de esta industria pero, mientras continúa proliferando, nuestro negocio es hacer que las condiciones del mercado sean lo más difíciles posible para los ciberdelincuentes.