El cibercrimen avanza adoptando técnicas probadas de negocio convencional
- Actualidad
Sophos ha revelado las conclusiones de su informe de amenazas 2023 que incluye detalles que evidencian que el panorama de ciberamenazas ha alcanzado un nuevo nivel de comercialización y facilidades para los atacantes, ya que se han eliminado casi todas las barreras iniciales para cometer ciberdelitos, debido a la expansión del cibercrimen como servicio.
Recomendados.... |
El cibercrimen como servicio se afianza, y así lo reflejan las predicciones de Sophos para 2023. En este punto, pone como ejemplos los mercados criminales clandestinos, como Genesis, llevan mucho tiempo permitiendo la compra de malware y servicios de despliegue de malware, así como la venta de credenciales robadas y otros datos al por mayor. Tras la expansión del "ransomware como servicio" en la última década, en 2022 el modelo se ha ampliado y consolidado, incluyendo la venta de todos los elementos del conjunto de herramientas necesario para un ciberataque: desde la infección inicial hasta formas para evitar la detección.
Otras tendencias identificadas en el informe son que los mercados clandestinos de ciberdelincuentes están operando como negocios convencionales. Los vendedores de cibercrimen no solo anuncian sus servicios, sino que también publican ofertas de trabajo para reclutar atacantes con distintas habilidades, quienes a su vez publican curriculums con sus habilidades y cualificaciones para el cibercrimen. De hecho, a medida que la infraestructura de la ciberdelincuencia se ha ido ampliando, el ransomware se ha convertido en un negocio muy popular y rentable.
En 2022, los operadores de ransomware han ampliado su potencial de ataque dirigiéndolo contra nuevas plataformas, más allá de Windows, y utilizando nuevos lenguajes como Rust y Go para evitar ser detectados. Algunos grupos como Lockbit 3.0 están creando formas "innovadoras" para extorsionar a sus víctimas, como ofrecer acceso a sus datos con "modelos de subscripción" o la subasta y programas de recompensas en el mercado del cibercrimen.
La evolución de la economía sumergida ha aumentado también la demanda del robo de credenciales. Con la expansión de los servicios web, varios tipos de credenciales, especialmente las cookies, pueden ser utilizadas de múltiples formas para obtener accesos más profundos en las redes. El robo de credenciales supone una de las formas más simples de poder entrar a los mercados clandestinos para los ciberatacantes novatos y poder así comenzar sus "carreras" en el cibercrimen.
El informe también repasa las evolución de cibercrimen en 2022, que impactará en los delitos de 2023. Por un lado, recuerda que La guerra en Ucrania tuvo repercusiones globales en el panorama de ciberamenazas. Inmediatamente después de la invasión, tuvo lugar una explosión de estafas con objetivos financieros, mientras que el nacionalismo supuso un revés para las alianzas cibercriminales entre ucranianos y rusos, particularmente entre los afiliados al ransomware.
Además, los dispositivos móviles son ahora el centro de nuevos tipos de ciberdelitos. Los atacantes no sólo siguen utilizando aplicaciones falsas para lanzar inyectores de malware, spywares y malwares asociados a la banca, sino que también ha aumentado la popularidad de nuevas formas de ciberfraude, como los esquemas de "Pig Butchering" ("matanza de cerdos"), en los que un extraño atrae a la víctima hacia una app de citas o de criptomineria falsa para dirigirle después a sitios fraudulentos. Y este delito ya no sólo afecta a los usuarios de Android, sino también a los de iOS.
Por otro lado, la devaluación de Monero, una de las criptomonedas más populares para los criptomineros, hizo que disminuyera uno de los tipos más antiguos y populares de criptominería: el minado de criptomonedas. Sin embargo, el malware de minería sigue propagándose a través de "bots" automatizados tanto en sistemas Windows como Linux.
Otro punto que destaca es que los delincuentes siguen explotando ejecutables legítimos y utilizando "binarios living off the land" (LOLBins) para lanzar varios tipos de ataques, incluido el ransomware. En algunos casos, los atacantes despliegan drivers de sistema legítimos pero vulnerables en ataques de "bring your own driver" para intentar desactivar las soluciones de detección y respuesta en endpoints y así evadir la detección.
Las tendencias mostradas en este informe han sido parte central del evento Sophos Day 2022, que ha tenido lugar en Madrid esta semana y que ha reunido a 350 profesionales del sector de la ciberseguridad.