Investigadores de las empresas de ciberseguridad Sophos y Trend Micro han estado compartiendo información actualizada sobre las actividades del ciber clandestino, revelando cómo la enorme escala de la economía criminal está dando lugar cada vez más a que varios grupos de ciberdelincuentes ofrezcan sus talentos como servicio. base.
El auge del ransomware como servicio es probablemente la más conocida de estas ofertas, y este es el tema de un nuevo informe de Sophos que evalúa cómo la “fuerza gravitacional” del agujero negro del ransomware está atrayendo otros tipos de amenazas para forman un sistema masivo e interconectado dedicado a dar servicio a la economía del ransomware. Dijo que es probable que esto tenga implicaciones significativas para la seguridad de TI en 2022.
Sophos predice que en 2022, el panorama del ransomware se volverá más modular y, al mismo tiempo, más uniforme, con varios grupos de especialistas ofreciéndose como pistoleros contratados y proporcionando guías de juego con herramientas y técnicas que permitan a diferentes grupos de amenazas implementar ataques que parecen, en la superficie, muy similares.
Esta será, hasta cierto punto, la evolución natural de la tendencia hacia el ransomware como servicio (RaaS) observada prácticamente en todos los ámbitos durante 2021.
“El ransomware prospera gracias a su capacidad para adaptarse e innovar”, dijo Chester Wisniewski, científico investigador principal de Sophos. “Por ejemplo, si bien las ofertas de RaaS no son nuevas, en años anteriores su principal contribución fue poner el ransomware al alcance de atacantes menos capacitados o con menos fondos.
“Esto ha cambiado y, en 2021, los desarrolladores de RaaS están invirtiendo su tiempo y energía en crear un código sofisticado y determinar la mejor manera de extraer los mayores pagos de las víctimas, las compañías de seguros y los negociadores”, dijo.
“Ahora están descargando a otros las tareas de encontrar víctimas, instalar y ejecutar el malware y lavar las criptomonedas robadas”, dijo Wisniewski. “Esto está distorsionando el panorama de las amenazas cibernéticas, y las amenazas comunes, como los cargadores, los goteros y los agentes de acceso inicial que existían y causaban interrupciones mucho antes de la ascendencia del ransomware, están siendo absorbidas por el ‘agujero negro’ que aparentemente todo lo consume es ransomware “.
Mientras tanto, Trend Micro ha estado rastreando a una banda de mercenarios cibernéticos enfocados en ganar dinero al ingresar en cuentas de correo electrónico y redes sociales y vender los datos personales y financieros que obtiene a otros actores maliciosos.
El grupo ha estado activo desde 2018 y recluta a sus afiliados a través de foros cibernéticos en ruso, donde también tiene una gran cantidad de críticas unánimemente positivas. Se identifica a sí mismo como Rockethack, pero los investigadores de Trend Micro han apodado a la pandilla Void Balaur, un balaur que es un dragón de muchas cabezas, similar a una hidra, en el folclore rumano, que aparece en algunas versiones del mito de San Jorge y el Dragón.
“Los mercenarios cibernéticos son una consecuencia desafortunada de la vasta economía del crimen cibernético actual”, dijo Feike Hacquebord, investigador senior de amenazas de Trend Micro.
“Dada la demanda insaciable de sus servicios y la acogida de algunos actores por parte de los estados nacionales, es poco probable que desaparezcan pronto. La mejor forma de defensa es concienciar a la industria sobre la amenaza en informes como este y fomentar las mejores prácticas de seguridad cibernética para ayudar a frustrar sus esfuerzos “.
Cargos por actividades
Los cargos de la pandilla por sus actividades oscilan entre $ 20 (£ 15 / € 17.40) por historiales de tarjetas de crédito robadas, hasta $ 69 por tomas de cámaras de tráfico y $ 800 por historiales de llamadas con ubicaciones de torres de telefonía celular.
Los analistas de la firma dicen que Void Balaur puede haber apuntado a cerca de 4.000 organizaciones y objetivos individuales, incluidos activistas, entusiastas de las criptomonedas, médicos, periodistas, científicos e incluso personal de TI y telecomunicaciones.
Más recientemente, se ha diversificado y se ha vuelto más audaz, apuntando al exjefe de una agencia de inteligencia, ministros de gobierno activos y más de una docena de miembros de varios parlamentos europeos.
Los objetivos comerciales conocidos incluyen compañías de telecomunicaciones, proveedores de cajeros automáticos, compañías de servicios financieros, aseguradoras médicas e incluso clínicas de FIV.
Los investigadores notaron que algunos de sus objetivos también parecen superponerse con los del grupo de amenazas persistentes avanzadas respaldado por el estado ruso que se rastrean de diversas maneras como Pawn Storm, APT28 o Fancy Bear. Esto puede no indicar necesariamente un vínculo claro, pero muchos en la comunidad de inteligencia de amenazas están expresando más abiertamente la teoría de que el gobierno ruso se apoya en grupos de delitos cibernéticos motivados financieramente para manejar algunas de sus actividades cibernéticas desde lo que podría denominarse una distancia segura.
Trend Micro dijo que había miles de indicadores de compromiso asociados con Void Balaur, que están disponibles para los clientes, pero que más comúnmente accede a sus objetivos a través de campañas de phishing, que a menudo incluyen malware de robo de información, incluidos Z * Stealer y DroidWatcher.