Sophos, publicó su Informe de Amenazas 2023 . El informe detalla cómo el panorama del cibercrimen y las ciberamenazas ha alcanzado un nuevo nivel de comercialización y comodidad para los posibles atacantes, con casi todas las barreras de entrada para cometer delitos cibernéticos eliminadas a través de la expansión de los delitos cibernéticos como servicio.
El informe también aborda cómo el ransomware sigue siendo una de las mayores amenazas de cibercrimen para las organizaciones con operadores que innovan en sus tácticas de extorsión, y cómo la demanda de credenciales robadas sigue creciendo.
El negocio del cibercrimen
Los mercados clandestinos del cibercrimen como Genesis hacen posible desde hace mucho la compra de malware y servicios de despliegue de malware (“malware como servicio”), así como la venta masiva de credenciales robadas y otros datos. En la última década, con la creciente popularidad del ransomware, surgió toda una economía de “ransomware como servicio”. Ahora, en 2022, este modelo “como servicio” se ha ampliado, y casi todos los aspectos del juego de herramientas de ciberdelincuencia, desde la infección inicial hasta las formas de evitar la detección, están disponibles para su compra.
“No se trata sólo de lo habitual, como el malware, los estuches de scamming y phishing para la venta”, dijo Sean Gallagher, investigador principal de amenazas de Sophos. “Los cibercriminales de más alto nivel están vendiendo herramientas y capacidades que alguna vez estuvieron únicamente en manos de algunos de los atacantes más sofisticados como servicios a otros actores. Por ejemplo, el año pasado vimos anuncios de OPSEC-as-a-service donde los vendedores ofrecieron ayudar a los atacantes a ocultar infecciones de Cobalt, y vimos el escaneado-a-service, que da a los compradores acceso a herramientas comerciales legítimas como Metasploit, para que puedan encontrar y luego explotar vulnerabilidades. La mercantilización de casi todos los componentes de la ciberdelincuencia está afectando al panorama de amenazas y abriendo oportunidades para cualquier tipo de atacante con cualquier nivel de habilidad”.
Con la expansión de la economía “como servicio”, los mercados de cibercriminales clandestinos también se están mercantilizado cada vez más y funcionan como empresas convencionales. Los vendedores de ciberdelincuencia no solo anuncian sus servicios, sino que también publican ofertas de trabajo para reclutar atacantes con distintas habilidades. Algunos mercados ahora tienen páginas dedicadas a la búsqueda de ayuda y personal de contratación, mientras que los buscadores de empleo están publicando resúmenes de sus habilidades y calificaciones.
“Los primeros operadores de ransomware estaban bastante limitados en cuanto a lo que podían hacer porque sus operaciones estaban centralizadas; los miembros del grupo estaban llevando a cabo todos los aspectos de un ataque. Pero a medida que el ransomware se volvió enormemente rentable, buscaron maneras de escalar sus producciones. Así que comenzaron a externalizar partes de sus operaciones, creando una infraestructura completa para soportar el ransomware. Ahora, otros cibercriminales han tomado una señal del éxito de esta infraestructura y están siguiendo su ejemplo”, dijo Gallagher.
De hecho, a medida que la infraestructura del cibercrimen se ha expandido, el ransomware ha seguido siendo muy popular y altamente rentable. Durante el último año, los operadores de ransomware han trabajado en la expansión de su servicio de ataque potencial apuntando a plataformas distintas de Windows, al tiempo que también han adoptado nuevos lenguajes como Rust and Go para evitar la detección. Algunos grupos, en particular Lockbit 3,0, han diversificado sus operaciones y han creado formas más “innovadoras” de extorsionar a las víctimas.
“Cuando hablamos de la creciente sofisticación de la clandestinidad criminal, esto se extiende al mundo del ransomware. Por ejemplo, Lockbit 3,0 ahora ofrece programas de recompensa de errores para su malware e ideas de ‘búsqueda masiva’ para mejorar sus operaciones desde la comunidad criminal. Otros grupos han pasado a un «modelo de suscripción» para acceder a sus datos de fugas y otros los están subastando. El ransomware se ha convertido, ante todo, en un negocio”, dijo Gallagher.
La evolución de la economía subterránea no sólo ha incentivado el crecimiento del ransomware y la industria “como servicio”, sino que también ha aumentado la demanda de robo de credenciales. Con la expansión de los servicios web, varios tipos de credenciales, especialmente cookies, se pueden utilizar de numerosas maneras para obtener una mayor presencia en las redes, incluso pasando por alto la MFA. El robo de credenciales también sigue siendo una de las formas más fáciles para que los delincuentes novatos puedan acceder a mercados subterráneos y comenzar su “carrera”.