[Octubre ciberseguridad] Cibermafia, el negocio detrás del ransomware

La ciberdelincuencia se ha desarrollado a tal punto que hoy en día hay operadores de ransomware que se pueden en encontrar en la Dark Web, estos agentes de acceso inicial publican listados que contienen descripciones vagas de las empresas que han logrado violar.

Los agentes de acceso inicial, corresponden a «intermediarios» de los ataques de ransomware, y han aumentado la  demanda de sus servicios a medida que el ransomware-as-a-service (RaaS) gana popularidad. Sus listados han aumentado constantemente en los últimos dos años, con un aumento significativo en los últimos seis meses, según los investigadores de Digital Shadows que publicaron un análisis de estos actores de amenazas.

El trabajo de un agente de acceso inicial es manejar los requisitos iniciales de un ataque y agilizar el proceso para que los operadores de RaaS puedan lanzar una infección exitosa. La creciente dependencia de RaaS ha creado un mercado para que prosperen los corredores de acceso inicial, explica el líder del equipo de inteligencia de amenazas, Alec Alvarado.

«Se ejerce mucha presión sobre los afiliados de ransomware para alimentar a los desarrolladores de ransomware con víctimas para generar flujo de efectivo», dice. «Si un afiliado no satisface las necesidades del desarrollador, será expulsado del programa de afiliados y perderá dinero», concluye. 

El proceso comienza con la identificación de objetivos vulnerables, lo que los corredores suelen hacer de forma indiscriminada con herramientas de escaneo de puertos de código abierto como Shodan o Masscan. También pueden usar herramientas de escaneo de vulnerabilidades para buscar su puerta de entrada a una organización objetivo, agrega Alvarado. 

En la mayoría de los casos, los atacantes identifican a las víctimas que tienen el Protocolo de escritorio remoto (RDP) expuestas a Internet. Los investigadores también han observado el acceso a las puertas de enlace de Citrix y los accesos a los controladores de dominio en las listas de acceso inicial en la Dark Web. El acceso a Citrix se puede obtener mediante la fuerza bruta de la puerta de enlace Citrix para proporcionar acceso remoto o explotar vulnerabilidades conocidas en los productos Citrix.

Una vez que encuentran su punto de apoyo inicial, los corredores de acceso inicial exploran cuidadosamente la red. Pueden intentar escalar privilegios o moverse lateralmente para ver a cuántos datos pueden acceder. Con esto completo, organizan su información de acceso, la empaquetan en un producto presentable y averiguan cuánto dinero pueden ganarles en la clandestinidad criminal. 

Estos listados se pueden encontrar en todos los foros criminales, como los foros en idioma ruso XSS y Exploit, dice Alvarado. Algunos foros han comenzado a crear secciones dedicadas para listados de acceso.

El precio de cada listado puede oscilar entre $500 y $10,000 USD, informan los investigadores, según el nivel de acceso obtenido y la organización comprometida. El acceso a grandes empresas con mayores ingresos impulsará el precio de acceso. Cuanto mayor sea el ingreso, mayor será la demanda de rescate.

«Los accesos considerablemente organizados y personalizados que requieren un esfuerzo mínimo para completar un ataque generalmente tendrán un costo más alto, ya que la mayor parte del trabajo se ha completado en ese momento», explica Alvarado. «Además, si el acceso abarca una gran parte de la red con varios hosts, esto impulsará el costo de acceso».

Los compradores de acceso inicial pueden hacer mucho más que lanzar un ataque de ransomware. También pueden realizar espionaje corporativo, moverse lateralmente, escalar privilegios o permanecer en la red a largo plazo para aprovechar las técnicas de vivir fuera de la tierra.

¿Cuánta información se puede negociar?

Los corredores deben lograr un delicado equilibrio al escribir una lista de acceso. Podrían detallar el valor de su acceso para obtener más atención e impulsar el precio; sin embargo, más información puede alertar a los investigadores de seguridad, quienes pueden identificar a la víctima y eliminar el acceso antes de que sea explotado.

Algunos corredores se arriesgan al limitar la descripción a datos vagos que se encuentran en Zoominfo, un sitio con información comercial como los ingresos de la empresa y el recuento de empleados. Esto les dice a los compradores potenciales cuán lucrativo podría ser un ataque sin compartir demasiada información. Los corredores también han incluido partes del símbolo de cotización bursátil de una empresa o del país donde opera.

La naturaleza sutil de su actividad y la falta de detalles en los listados dificultan la captura de un corredor de acceso inicial. Las señales de alerta pueden incluir evidencia de intentos de fuerza bruta contra servidores RDP, múltiples intentos de autenticación fallidos o evidencia de intentos de escalada de privilegios o movimiento lateral, dice Alvarado. En general, estos corredores pueden operar sin mucho riesgo porque no lanzan la campaña final y es probable que obtengan un pago.

Negociar con bandas de ransomware

El pago de ransomware, aunque obviamente es arriesgado y empodera / alenta a los atacantes de ransomware, tal vez se pueda comportar para no violar ninguna ley e incluso si el pago es posiblemente ilegal , parece poco probable que sea procesado. Por lo tanto, la decisión de pagar o ignorar una demanda de ransomware parece menos una determinación legal y más práctica, casi como un análisis de costo-beneficio.

Los argumentos para realizar un pago de ransomware incluyen:

  • El pago es la opción menos costosa.
  • El pago está en el mejor interés de las partes interesadas (por ejemplo, un paciente de un hospital que necesita desesperadamente una operación inmediata cuyos registros están bajo llave).
  • El pago puede evitar ser multado por perder datos importantes.
  • Pago significa no perder información altamente confidencial.
  • El pago puede significar no hacer pública la violación de datos.

Los argumentos en contra de la prestación de un pago por ransomware incluyen:

  • El pago no garantiza que se proporcionarán las claves de cifrado correctas con los algoritmos de descifrado adecuados.
  • El pago financia adicionalmente las persecuciones criminales adicionales del atacante, lo que permite un ciclo de delitos de ransomware.
  • El pago puede dañar una marca corporativa.
  • Es posible que el pago no impida que el atacante de ransomware regrese.
  • Si las víctimas dejaran de realizar pagos de ransomware, el flujo de ingresos de ransomware se detendría y los atacantes de ransomware tendrían que pasar a perpetrar otro esquema.
  • Usar Bitcoin para pagar a un atacante de ransomware puede poner en riesgo a las organizaciones. La mayoría de las víctimas deben comprar Bitcoin en intercambios totalmente no regulados y libres que también pueden ser pirateados, dejando vulnerable la información de la cuenta bancaria de los compradores almacenada en estos intercambios.

Cuando se enfrenta a un ataque de ransomware, todas las opciones parecen sombrías. Pagar a los piratas informáticos y la víctima no solo puede provocar futuros ataques, sino que tampoco hay garantía de que los piratas informáticos restauren el conjunto de datos de la víctima. 

Ignore a los piratas informáticos y la víctima puede sufrir un daño financiero significativo o incluso quedar fuera del negocio. Las únicas garantías durante un ataque de ransomware son el miedo, la incertidumbre y el pavor que inevitablemente experimenta la víctima.