Cómo colaboran los ciberdelincuentes para realizar ataques de ransomware

[ad_1]

En su comunicado de Carbis Bay, el G7 anunció su intención de trabajar juntos para hacer frente a los grupos de ransomware. Días después, el presidente estadounidense Joe Biden se reunió con el presidente ruso Vladimir Putin, donde se discutió un proceso de extradición para llevar a los ciberdelincuentes rusos ante la justicia en Estados Unidos.

Según los informes, Putin estuvo de acuerdo en principio, pero insistió en que la extradición fuera recíproca. El tiempo dirá si se puede llegar a un tratado de extradición. Pero si es así, ¿a quién exactamente debería extraditarse y para qué?

El problema para las fuerzas del orden es que el ransomware, una forma de malware que se utiliza para robar los datos de las organizaciones y exigir un rescate, es un pez muy resbaladizo. No solo es un delito mixto, que incluye diferentes delitos en diferentes cuerpos de ley, sino que también es un delito que abarca el ámbito de competencias de diferentes agencias policiales y, en muchos casos, países. Y no hay un delincuente clave. Los ataques de ransomware involucran una red distribuida de diferentes ciberdelincuentes, a menudo desconocidos entre sí para reducir el riesgo de arresto.

Por lo tanto, es importante analizar estos ataques en detalle para comprender cómo Estados Unidos y el G7 podrían abordar el creciente número de ataques de ransomware que hemos visto durante la pandemia, con al menos 128 incidentes divulgados públicamente que tuvieron lugar a nivel mundial en mayo de 2021.

Lo que encontramos cuando conectamos los puntos es una industria profesional muy alejada del libro de jugadas del crimen organizado, que aparentemente se inspira directamente en las páginas de un manual de estudios empresariales.

La industria del ransomware es responsable de una gran cantidad de interrupciones en el mundo actual. Estos ataques no solo tienen un efecto económico devastador, con un costo de miles de millones de dólares en daños, sino que los datos robados adquiridos por los atacantes pueden continuar descendiendo en cascada a lo largo de la cadena delictiva y alimentar otros delitos cibernéticos.

Los ataques de ransomware también están cambiando. El modelo de negocio de la industria delictiva se ha orientado hacia la prestación de ransomware como servicio. Esto significa que los operadores proporcionan el software malicioso, gestionan los sistemas de pago y extorsión y gestionan la reputación de la «marca». Pero para reducir su exposición al riesgo de arresto, reclutan afiliados con generosas comisiones para usar su software para lanzar ataques.

Esto ha dado lugar a una amplia distribución del trabajo delictivo, donde las personas que poseen el malware no son necesariamente las mismas que planifican o ejecutan los ataques de ransomware. Para complicar aún más las cosas, los servicios ofrecidos por el ecosistema más amplio del ciberdelito ayudan a ambos a cometer sus delitos.

¿Cómo funcionan los ataques de ransomware?

Hay varias etapas en un ataque de ransomware, que he descubierto después de analizar más de 4.000 ataques entre 2012 y 2021.

Primero, está el reconocimiento, donde los delincuentes identifican víctimas potenciales y puntos de acceso a sus redes. A esto le sigue un pirata informático que obtiene «acceso inicial», utilizando credenciales de inicio de sesión compradas en la web oscura u obtenidas mediante engaño.

Una vez que se obtiene el acceso inicial, los atacantes buscan aumentar sus privilegios de acceso, lo que les permite buscar datos organizacionales clave que causarán más dolor a la víctima cuando sean robados y retenidos para pedir un rescate. Esta es la razón por la que los registros médicos de los hospitales y los registros policiales suelen ser el objetivo de ataques de ransomware. Luego, los delincuentes extraen y guardan estos datos clave, todo antes de que se instale y active cualquier ransomware.

Luego viene la primera señal de la organización víctima de que ha sido atacada: el ransomware está implementado, bloqueando a las organizaciones de sus datos clave. La víctima es rápidamente nombrada y avergonzada a través del sitio web de filtración de la banda de ransomware, ubicado en la web oscura. Ese «comunicado de prensa» también puede presentar amenazas para compartir datos confidenciales robados, con el objetivo de asustar a la víctima para que pague la demanda de rescate.

Las víctimas de ataques de ransomware suelen tener una pantalla como esta.

Los ataques exitosos de ransomware hacen que el rescate se pague en criptomonedas, que es difícil de rastrear, y se conviertan y blanquean en moneda fiduciaria. Los ciberdelincuentes a menudo invierten las ganancias para mejorar sus capacidades y pagar a los afiliados para que no los atrapen.

El ecosistema del ciberdelito

Si bien es factible que un delincuente con la habilidad adecuada pueda realizar cada una de las funciones, es muy poco probable. Para reducir el riesgo de ser atrapados, los grupos de delincuentes tienden a desarrollar y dominar habilidades especializadas para las diferentes etapas de un ataque. Estos grupos se benefician de esta interdependencia, ya que compensa la responsabilidad penal en cada etapa.

Y hay muchas especializaciones en el inframundo del ciberdelito. Hay spammers, que alquilan software de spam como servicio que los estafadores, estafadores y estafadores utilizan para robar las credenciales de las personas, y agentes de datos que intercambian estos datos robados en la web oscura.

Pueden ser comprados por «agentes de acceso inicial», que se especializan en obtener una entrada inicial a los sistemas informáticos antes de vender esos detalles de acceso a posibles atacantes de ransomware. Estos atacantes a menudo se relacionan con corredores de software delictivo como servicio, que contratan software de ransomware como servicio y otro malware malicioso.

Para coordinar estos grupos, los vendedores oscuros proporcionan mercados en línea donde los delincuentes pueden vender o intercambiar servicios abiertamente, generalmente a través de la red Tor en la web oscura. Los monetizadores están allí para lavar las criptomonedas y convertirlas en moneda fiduciaria, mientras que los negociadores, que representan tanto a la víctima como al delincuente, son contratados para liquidar el monto del rescate.

Este ecosistema está en constante evolución. Por ejemplo, un desarrollo reciente ha sido la aparición del «consultor de ransomware», que cobra una tarifa por asesorar a los infractores en las etapas clave de un ataque.

Arrestar a los infractores

Los gobiernos y las agencias de aplicación de la ley parecen estar intensificando sus esfuerzos para combatir a los delincuentes de ransomware, luego de un año arruinado por sus continuos ataques. Cuando el G7 se reunió en Cornualles en junio de 2021, las fuerzas policiales de Ucrania y Corea del Sur se coordinaron para arrestar a elementos de la infame banda de ransomware CL0P. En la misma semana, un tribunal estadounidense condenó al ciudadano ruso Oleg Koshkin por ejecutar un servicio de cifrado de malware que utilizan los grupos criminales para realizar ciberataques sin ser detectado por las soluciones antivirus.

Si bien estos desarrollos son prometedores, los ataques de ransomware son un delito complejo que involucra a una red distribuida de delincuentes. A medida que los delincuentes han perfeccionado sus métodos, los agentes del orden y los expertos en ciberseguridad han tratado de mantener el ritmo. Pero la relativa inflexibilidad de los acuerdos policiales y la falta de un delincuente clave (el Sr. o la Sra. Big) para arrestar, siempre pueden mantenerlos un paso por detrás de los ciberdelincuentes, incluso si se llega a un tratado de extradición entre Estados Unidos y Rusia.

.

[ad_2]

Source link