Seguridad

Ciberdelincuentes emplean especialistas para maximizar las ganancias obtenidas ilícitamente

Las pandillas de ransomware recurren cada vez más a especialistas para completar sus alcaparras en las corporaciones, según un proveedor de inteligencia de Dark Net.

Un informe emitido el viernes por Kela, con sede en Tel Aviv, señaló que los días en que los lobos solitarios realizaban ataques cibernéticos de principio a fin están casi extinguidos.

El espectáculo de un solo hombre se ha disuelto casi por completo, dando paso a la especialización, sostuvo el informe escrito por la analista de inteligencia de amenazas de Kela, Victoria Kivilevich.

Kivilevich identificó cuatro áreas de especialización:

  • Proporcionar o adquirir código para el ataque;
  • Infectar y propagar un ataque;
  • Mantener el acceso y la recolección de datos de los sistemas infectados; y
  • Monetizando los frutos del ataque.

Los actores de ransomware también han comenzado a expandir sus métodos para intimidar a las víctimas, como el uso de ataques DDoS y llamadas de spam, reveló el informe.

“Por lo tanto, el ecosistema de ransomware se parece cada vez más a una corporación con roles diversificados dentro de la empresa y múltiples actividades de subcontratación”, señaló.

El ascenso del negociador

El informe también reveló el surgimiento de un nuevo rol en el ecosistema de ransomware: el negociador.

Inicialmente, explicó, la mayoría de los operadores de ransomware se comunicaban con las víctimas por correo electrónico. A medida que el ransomware como servicio creció y se volvió más prominente y comercial, muchos actores comenzaron a establecer sus propios portales a través de los cuales se realizaban todas las comunicaciones.

Los desarrolladores o afiliados del ransomware estaban determinando la suma del rescate, ofreciendo descuentos y discutiendo las condiciones de pago, continuó el informe. “Sin embargo”, señaló, “ahora esta parte del ataque también parece ser una actividad subcontratada, al menos para algunos afiliados y/o desarrolladores”.

Una posible razón por la que los ciberdelincuentes han comenzado a reclutar negociadores es que las víctimas comenzaron a usarlos. “Los actores de rescate también tuvieron que mejorar su juego para obtener buenos márgenes”, razonó el informe.

Otro motivo podría estar relacionado con los propios ciberdelincuentes. “Como la mayoría de los actores de rescate probablemente no sean hablantes nativos de inglés, las negociaciones más delicadas, específicamente en torno a presupuestos muy altos y situaciones comerciales complejas, requerían un mejor inglés”, planteó la hipótesis del informe.

Señaló que los negociadores generalmente pedían del 10 al 20 por ciento de un rescate como pago por sus servicios.

“Los negociadores en inglés están ahí para poner cara de ‘servicio al cliente’ en la transacción”, observó AJ King, CISO de BreachQuest, una empresa de respuesta a incidentes en Dallas.

«Dependiendo del tipo de compromiso, el uso de matices de lenguaje puede significar la diferencia entre obtener un 10 por ciento adicional de su objetivo o no», dijo a TechNewsWorld.

“Si no puede comunicarse adecuadamente, no tendrá éxito a largo plazo y en casos más grandes”, dijo. “Los ciberdelincuentes se han dado cuenta”.

Impulsores detrás de la especialización

Oliver Tavakoli, CTO de Vectra AI, un proveedor de soluciones automatizadas de gestión de amenazas en San José, California, sostuvo que los actores de ransomware han comenzado a especializarse por las mismas razones por las que se especializa cualquier gran empresa.

“Es más fácil ser bueno en una pequeña cantidad de cosas que en una gran cantidad de cosas, vale la pena trabajar en las cosas en las que eres bueno, y las organizaciones que intentan orquestar una cadena de ataque completa no quieren depender de personas que no son expertos en algo para un paso crítico en el ataque”, dijo a TechNewsWorld.

La escala también puede estar contribuyendo a la necesidad de especializarse, agregó Purandar Das, director ejecutivo y cofundador de Sotero, una empresa de protección de datos en Burlington, Massachusetts.

“Los ataques ahora se han vuelto tan grandes que lo que probablemente se vio como parte del ataque ahora requiere los mismos servicios a escala”, dijo a TechNewsWorld.

“Cada una de estas son capacidades que requieren habilidades especializadas”, dijo. “Ya sea intrusión, acceso o negociación, el negocio se maneja a tal escala que cada uno demanda sus propias especializaciones”.

Brandon Hoffman, director de seguridad de Intel 471, un proveedor de inteligencia contra delitos cibernéticos en Dallas, agregó que los proveedores de ransomware como servicio necesitan especialistas porque, por lo general, solo ofrecen software de encriptación y una forma de monetizar el ataque.

“Es importante tener en cuenta que el ransomware se encuentra esencialmente al final de una cadena de ataque”, dijo a TechNewsWorld. “Para cargar el ransomware, necesitan acceso inicial, movimiento lateral y escalada de privilegios antes de que el cifrado pueda ser lo suficientemente efectivo y generalizado como para paralizar la organización”.

Tarifas premium para derechos de administrador

El informe de Kela también señaló que los actores de ransomware estaban dispuestos a pagar una prima por el acceso del administrador del dominio a una computadora comprometida.

“Si los atacantes de ransomware inician un movimiento lateral desde una máquina de administración de dominio, tienen más posibilidades de implementar con éxito ransomware en una red comprometida”, explica el informe.

“Sin embargo”, continuó, “si todo lo que tienen es acceso de usuario, entonces deben escalar los privilegios por sí mismos, o solicitar la ayuda de personas calificadas”.

Esa ayuda puede ser costosa. Según el informe, los especialistas en intrusión reciben del 10 al 30 por ciento de un rescate por escalar los privilegios al nivel del dominio.

Tavakoli explicó que la intrusión y la escalada son parte de un ataque de ransomware que requiere un alto nivel de competencia técnica y, por lo general, no se puede automatizar.

“Este paso toma herramientas y técnicas existentes y tiene que adaptarlas a las particularidades del entorno que se encuentra dentro de una organización objetivo”, continuó. “Dado que este paso requiere habilidad y es manual, la demanda, en términos del número total de personas necesarias, es relativamente alta”.

Garret Grajek, director ejecutivo de YouAttest, una empresa de auditoría de identidad en Irvine, California, agregó que la conclusión clave de los hallazgos es el recordatorio de cuán importantes son los derechos administrativos para los piratas informáticos.

“El estudio muestra que los piratas informáticos están pagando hasta 10 veces el valor de las credenciales comprometidas del administrador que pagan por las de los usuarios habituales”, dijo a TechNewsWorld.

“Para compensar el costo, los piratas informáticos también compran credenciales de usuario robadas de bajo costo y luego usan hacks pagados para escalar los privilegios en esas cuentas de usuario”, agregó.

Hackers de doble inmersión

Una vez que los actores de ransomware penetran en un sistema, generalmente actúan de una de dos maneras o, en algunos casos, de ambas.

“Los ciberdelincuentes están encriptando datos para obtener rescates de acuerdo con las técnicas clásicas de ransomware”, observó Allie Mellen, analista de seguridad y riesgo de Forrester Research.

«Para agravar esto», dijo a TechNewsWorld, «también están adoptando un nuevo enfoque: robar datos comerciales y luego amenazar con divulgarlos a menos que la organización pague».

“Este doble golpe de rescate y extorsión permite que las pandillas de ransomware reciban el doble de lo que recibirían tradicionalmente, lo que puede tener un impacto aún más negativo en un negocio afectado por el ransomware”, dijo.

¿Cómo pueden las organizaciones protegerse de los ataques de ransomware? King tiene estas recomendaciones:

  • Implemente un programa sólido de administración de acceso e identidad.
  • Limite los privilegios administrativos locales para los usuarios estándar.
  • Requerir autenticación multifactor para todos los portales orientados a Internet.
  • Segmente su red, lo que puede limitar el movimiento lateral de un intruso.
  • Tenga un centro de operaciones de seguridad sólido, ya sea externo o interno, con la capacitación, las herramientas y los niveles de personal adecuados para detectar un evento temprano cuando ocurra la intrusión inevitable.

LEER  Audite las contraseñas que nunca caducan para las cuentas de usuario con el script Bash

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Botón volver arriba