Los detalles de las transacciones y los patrones de monetización de la ciberdelincuencia moderna revelan información crítica para las organizaciones que se defienden de los ataques de ransomware.
Articulo facilitado por CrowdStrike
La ciberdelincuencia ha evolucionado en los últimos años, pasando de simples ataques de «rociar y rezar» a un sofisticado ecosistema criminal centrado en técnicas de monetización muy eficaces que permiten a los adversarios maximizar el éxito y la rentabilidad.
La monetización es el paso que dan los atacantes para recibir un pago cuando se completa una operación. Los actores de las amenazas evolucionan constantemente sus métodos a través de la prueba y el error para evitar ser atrapados. Una mayor comprensión de cómo funciona este proceso -incluyendo los detalles de las transacciones, el valor de los compromisos recientes y los adversarios participantes- puede ayudar a las organizaciones a luchar contra los actores de amenazas modernos.
La inteligencia sobre amenazas de CrowdStrike ofrece a los responsables de la toma de decisiones de TI y de seguridad información sobre la monetización del crimen electrónico a través de nuestros informes de inteligencia del Índice de Crimen Electrónico. A continuación, analizamos nuestras observaciones recientes y compartimos los puntos clave para los defensores.
La criptomoneda es el rey
Bitcoin es la criptomoneda elegida en las campañas de ransomware por varias razones: es la más fácil de obtener y está ampliamente disponible. Los monederos de Bitcoin no requieren información personal identificable, por lo que pedir un rescate en Bitcoin facilita a las víctimas el pago y permite a los adversarios permanecer en el anonimato.
Sin embargo, no todos los detalles de Bitcoin están ocultos. El valor de cada transacción y del monedero de Bitcoin es visible públicamente, lo que permite a los atacantes y a las fuerzas del orden seguir los pagos hasta su destino final. Y aunque la identidad del titular del monedero está oculta, Bitcoin puede cambiarse por moneda fiduciaria en cualquier número de intercambios de criptodivisas, donde la identidad del adversario puede quedar expuesta.
Para aumentar el anonimato, los atacantes suelen utilizar «servicios de mezcla», que redistribuyen Bitcoin de varias fuentes a través de diferentes direcciones para ocultar la fuente original de los fondos y dificultar el análisis de la transacción. Otro método utilizado para garantizar el anonimato y evitar el rastreo de los fondos es el «salto de cadena», en el que los ciberdelincuentes convierten la moneda a otro formato, como Monero (XMR), una forma de criptodivisa que muchos atacantes prefieren por su anonimato.
Las demandas de rescate varían – mucho
El valor de la actividad sospechosa reportada en los Informes de Actividad Sospechosa relacionados con el ransomware durante los primeros seis meses de 2021 fue de 590 millones de dólares estadounidenses, en comparación con los 416 millones de dólares reportados en todo el año 2020, según los datos de la Red de Aplicación de Crímenes Financieros (FinCen) del Departamento del Tesoro de Estados Unidos. Los expertos de CrowdStrike también vieron un aumento: Nuestro equipo de inteligencia calculó una demanda media de rescate de 6,1 millones de dólares estadounidenses en 2021, lo que supone un aumento del 36% respecto a 2020.
Los corredores de acceso elaboran sus propias listas de precios
Los intermediarios de acceso violan la infraestructura de las víctimas y luego venden las credenciales obtenidas ilícitamente u otros métodos de acceso en comunidades clandestinas. Los operadores de malware o sus afiliados compran información de acceso para no tener que entrar ellos mismos, lo que les permite realizar ataques más rápidos y específicos.
El coste de este acceso varía. El equipo de Inteligencia de CrowdStrike ha visto precios que van desde los 100 dólares hasta los 64.000 dólares (el más alto identificado hasta la fecha). Los factores que determinan el coste pueden incluir el nivel de privilegio concedido, los ingresos anuales estimados de la empresa objetivo, el número de puntos finales, la cantidad potencial de datos disponibles para la exfiltración y la reputación del intermediario.
Los atacantes no remunerados podrían subastar sus datos
Si la víctima del ransomware se niega a satisfacer las demandas de los adversarios, sus datos exfiltrados pueden ser subastados en la web oscura o en un sitio dedicado a la filtración. Esta táctica permite al actor de la amenaza ganar dinero si su primer intento de monetización no tiene éxito, o aumentar sus beneficios incluso si la víctima paga. A veces los datos se venden a otros adversarios, que pueden utilizarlos para encontrar nuevas víctimas u obtener información personal identificable para cometer fraudes o planificar ataques.
El ecosistema de apoyo a la delincuencia electrónica sigue prosperando
Puede que el ransomware sea la fuente de ingresos más popular para los ciberdelincuentes; sin embargo, muchos siguen confiando en otras formas de ganar dinero. CrowdStrike Intelligence descubrió múltiples métodos tradicionales que los atacantes siguen utilizando para generar fondos. Los actores ofrecen varios servicios para apoyar la economía sumergida más amplia, incluyendo spambots, servicios de monetización, pago por instalación y kits de exploits.
Un ejemplo de ello es EcoPanel, un panel web personalizable que permite a los usuarios gestionar los distintos pasos del fraude de reenvío como forma de monetizar el crimen electrónico. Como parte de este proceso, los atacantes utilizan los datos robados para comprar bienes de alto valor y enviarlos a intermediarios en Estados Unidos o Europa. Estas «mulas» los reenvían a los actores del crimen electrónico, que venden los bienes en los mercados locales para obtener fondos.
Puntos de partida para los defensores
Aprender cómo los ciberdelincuentes monetizan las campañas de ransomware es un paso importante para defenderse de ellas. A continuación se presentan tres lecciones clave que pueden aprender los equipos de TI y de seguridad:
Lección 1: Sus datos ayudarán a definir su estrategia. Los adversarios van detrás de sus datos corporativos sensibles, y si los consiguen, su organización puede estar expuesta a la extorsión y a otras amenazas más adelante. Debe determinar el valor de sus datos y dónde residen para construir una estrategia de seguridad de varias capas que dé prioridad a los datos como su activo más valioso y los proteja utilizando una gestión de identidades adecuada y los principios de confianza cero. La capacidad de crear una defensa en capas, y planificar contingencias en torno a posibles fallos de sus componentes, es esencial para proteger los datos sensibles.
Lección 2: La inteligencia sobre amenazas es esencial para rastrear la monetización del crimen electrónico. El proceso de monitorización continua requiere una inteligencia de amenazas procesable para entender quién podría estar apuntando a sus datos, cómo podrían atacarlos y el valor de sus datos dentro del ecosistema de la ciberdelincuencia, para que pueda determinar la mejor manera de invertir en soluciones de monitorización.
Lección 3: El CrowdStrike eCrime Index (ECX) ayuda a rastrear la monetización del crimen electrónico. El ECX se basa en una serie de datos sobre la ciberdelincuencia, como las víctimas de ransomware, las fugas de datos de caza mayor, las actividades de ataque y los índices de criptomoneda, todo ello ponderado por el impacto. El ECX es útil para comprender mejor las tendencias más amplias del ecosistema de la ciberdelincuencia, y éstas pueden ser un factor para determinar la actividad de las amenazas.
El modelo de negocio de la ciberdelincuencia evoluciona constantemente para dar cabida a nuevas tácticas de crimen electrónico. Conocer estas técnicas puede ayudar a los equipos de TI y de seguridad a comprender mejor a sus adversarios y, de este modo, reforzar sus defensas.