kirill_makarov - Fotolia
Escala de la economía del crimen como servicio es una preocupación creciente, dicen investigadores
La ciberdelincuencia clandestina sigue evolucionando hacia una economía basada en los servicios.
Los investigadores de las empresas de ciberseguridad Sophos y Trend Micro han compartido nueva información sobre las actividades de la ciberdelincuencia clandestina, revelando cómo la gran escala de la economía criminal está dando lugar a que varios grupos de ciberdelincuentes ofrezcan sus talentos como servicio.
El aumento del ransomware como servicio es probablemente el más conocido de estos ofrecimientos, y es el tema de un nuevo informe de Sophos que evalúa cómo la «fuerza gravitacional» del agujero negro del ransomware está atrayendo otros tipos de amenazas para formar un sistema masivo e interconectado dedicado a dar servicio a la economía del ransomware. Según la empresa, es probable que esto tenga importantes implicaciones para la seguridad informática en 2022.
Sophos predice que en 2022 el panorama del ransomware será más modular y, al mismo tiempo, más uniforme, con varios grupos de especialistas que se ofrecerán como asesinos de alquiler y proporcionarán libros de jugadas con herramientas y técnicas que permitirán a los diferentes grupos de amenazas implementar ataques que parecen, a primera vista, muy similares.
Esto será, en cierta medida, la evolución natural de la tendencia hacia el ransomware como servicio (RaaS) que se ha observado de forma generalizada durante 2021.
«El ransomware prospera debido a su capacidad de adaptación e innovación», dijo Chester Wisniewski, científico principal de investigación de Sophos. «Por ejemplo, aunque las ofertas de RaaS no son nuevas, en años anteriores su principal contribución era poner el ransomware al alcance de los atacantes menos cualificados o con menos fondos».
«Esto ha cambiado y, en 2021, los desarrolladores de RaaS están invirtiendo su tiempo y energía en crear código sofisticado y determinar la mejor manera de extraer los mayores pagos de las víctimas, las compañías de seguros y los negociadores», dijo.
«Ahora están descargando en otros las tareas de encontrar víctimas, instalar y ejecutar el malware, y blanquear las criptomonedas robadas», dijo Wisniewski. «Esto está distorsionando el panorama de las ciberamenazas, y las amenazas comunes, como los loaders, droppers e Initial Access Brokers, que existían y causaban trastornos mucho antes del ascenso del ransomware, están siendo absorbidas por el ‹agujero negro› que parece consumirlo todo, que es el ransomware».
Mientras tanto, Trend Micro ha estado rastreando una banda de cibermercenarios centrados en ganar dinero a partir de la irrupción en cuentas de correo electrónico y redes sociales y la venta de los datos personales y financieros que obtiene a otros actores maliciosos.
El grupo lleva activo desde 2018 y recluta a sus afiliados a través de foros cibernéticos en lengua rusa, donde también tiene una serie de críticas unánimemente positivas. Se autoidentifica como Rockethack, pero los investigadores de Trend Micro han bautizado a la banda como Void Balaur; un balaur es un dragón de muchas cabezas, parecido a una hidra, en el folclore rumano, que aparece en algunas versiones del mito de San Jorge y el Dragón.
«Los cibermercenarios son una desafortunada consecuencia de la vasta economía actual de la ciberdelincuencia», afirmó Feike Hacquebord, investigador principal de amenazas de Trend Micro.
«Dada la insaciable demanda de sus servicios y la acogida de algunos actores por parte de los Estados nacionales, es poco probable que desaparezcan pronto. La mejor forma de defensa es concienciar a la industria sobre la amenaza en informes como éste y fomentar las mejores prácticas de ciberseguridad para ayudar a frustrar sus esfuerzos».
Cargos por actividades
Los cargos de la banda por sus actividades van desde unos 20 dólares (15 libras/17,40 euros) por historiales de tarjetas de crédito robadas, hasta 69 dólares por tomas de cámaras de tráfico y 800 dólares por historiales de llamadas con localización de torres de telefonía móvil.
Los analistas de la empresa afirman que Void Balaur puede haber atacado a cerca de 4.000 organizaciones y objetivos individuales, entre los que se encuentran activistas, entusiastas de las criptomonedas, médicos, periodistas, científicos e incluso personal informático y de telecomunicaciones.
Últimamente, se ha ramificado y se ha vuelto más audaz, apuntando al antiguo jefe de una agencia de inteligencia, a ministros del gobierno en activo y a más de una docena de miembros de varios parlamentos europeos.
Entre los objetivos empresariales conocidos se encuentran empresas de telecomunicaciones, proveedores de cajeros automáticos, empresas de servicios financieros, aseguradoras médicas e incluso clínicas de fecundación in vitro.
Los investigadores observaron que algunos de sus objetivos también parecen coincidir con los del grupo de amenazas persistentes avanzadas respaldado por el estado ruso y rastreado como Pawn Storm, APT28 o Fancy Bear. Esto no indica necesariamente un vínculo claro, pero muchos en la comunidad de inteligencia de amenazas están expresando más abiertamente la teoría de que el gobierno ruso se apoya en grupos de cibercrimen con motivación financiera para manejar algunas de sus actividades cibernéticas desde lo que podría llamarse una distancia segura.
Trend Micro dijo que había miles de indicadores de compromiso asociados con Void Balaur –que están disponibles para los clientes–, pero lo más común es que acceda a sus objetivos a través de campañas de phishing, a menudo incluyendo malware de robo de información como Z*Stealer y DroidWatcher.