Casos de ciberdelincuencia organizada: lo que los CISO necesitan saber

Recomendados:  14 Predicciones de Ciberseguridad para 2022 Leer Nuevas reglas de seguridad para aplicaciones web y API Leer

El Access-as-a-Service forma parte de una tendencia en desarrollo en la ciberdelincuencia, que es la creciente especialización de los servicios dentro del Cybercrime-as-a-Service (CaaS), bajo el que se colocan ofertas como el Ramsomware-as-a-Service, y el aumento de la colaboración entre estos grupos. Es una de las conclusiones de una investigación realizada por Trend Micro en el underground del cibercrimen: Investigating the Emerging Access-as-a-Service Market.

Según Jon Clay, vicepresidente de Inteligencia de Amenazas de Trend Micro, el AaaS está compuesto por individuos y grupos que utilizan numerosos métodos para obtener acceso remoto a la red de una organización. Hay tres tipos de vendedores de AaaS: los oportunistas; los dedicados, cuyo trabajo es a tiempo completo es conseguir y vender accesos; y las tiendas online.

“Los grupos que se especializan en obtener acceso a las redes y luego venderlo a propósito a otros son más preocupantes, ya que su acceso suele ser sólido y garantiza a sus compradores que pueden prestar su servicio”, asegura el directivo de Trend Micro, añadiendo que ambos actores de AaaS pueden ser problemáticos, pero este último es, sin duda, el grupo que dará más problemas a las organizaciones debido a la complejidad de atribuir al atacante inicial.

Al igual que ocurre con todos los tipos de ciberataques, algunos sectores son más atacados que otros. Trend Micro Research analizó más de 900 listados de brokers de acceso y determinó que el 36% ofrecía acceso a facultades, universidades y escuelas que comprenden desde los cuatro hasta los 16 años de edad, más conocidas como K-12. Esto no es sorprendente si se tiene en cuenta el aumento de las brechas de datos en el sector educativo y el hecho de que las escuelas poseen una mina de oro de información personal que puede venderse en mercados clandestinos o rescatarse.

El AaaS forma parte de una tendencia: la especialización de los servicios por parte de las bandas de cibercriminales, lo que significa, según Jon Clay, “que probablemente vamos a ver menos errores que conduzcan a detecciones, y debemos esperar que múltiples grupos colonicen una red infectada. Pensando desde una mentalidad de respuesta a incidentes, esto significa que se tendrán que identificar a estos diferentes grupos que completan aspectos específicos del ataque general, lo que hace más difícil detectar y detener los ataques”.

La investigación de la empresa de seguridad que los los ataques en los que se obtuvo acceso y se entregó a otro grupo pueden ser más difíciles de detener debido al cambio en el comportamiento del atacante. Por lo tanto, “es crucial que los CISO y los equipos de seguridad implementen una estrategia de defensa de la ciberseguridad que se centre en detectar y prevenir la brecha de acceso inicial”, que cuanto antes se pueda detectar el acceso inicial de un ataque, más probabilidades habrá de evitar que se produzcan los siguientes componentes del ciclo de vida del ataque, como el ransomware.