Las credenciales robadas dan cada vez más poder a la ciberdelincuencia clandestina
Una nueva investigación pone de manifiesto que las bandas delictivas se centran cada vez más en la adquisición de credenciales robadas para eludir las medidas de seguridad.
La ciberdelincuencia clandestina ha funcionado durante mucho tiempo como un mercado abierto en el que los vendedores de productos y servicios se emparejan con compradores y contratistas. Una de las mercancías más valiosas en este mercado son las credenciales robadas, ya que pueden proporcionar a los atacantes acceso a redes, bases de datos y otros activos propiedad de las organizaciones. No es de extrañar que los ciberdelincuentes se centren en esta valiosa mercancía.
"El año pasado se registraron 4.518 violaciones de datos", señalan los investigadores de Flashpoint en un nuevo informe. "Los actores de amenazas expusieron o robaron 22.620 millones de credenciales y registros personales, desde información financiera y de cuentas hasta correos electrónicos y números de la Seguridad Social". Más del 60% de estas credenciales y otros detalles fueron robados de organizaciones del sector de la información, y estas organizaciones generalmente alojan datos para clientes de muchas otras industrias.
Flashpoint, especializada en inteligencia sobre ciberamenazas, vigila constantemente los mercados, foros y otros canales de comunicación de los ciberdelincuentes. Hasta la fecha, su base de datos de información sobre amenazas incluye 575 millones de mensajes en foros ilegales, 3.600 millones de mensajes de chat, 39.000 millones de credenciales comprometidas, 85.000 millones de credenciales únicas de correo electrónico/contraseña y más de 2.000 millones de números de tarjetas de crédito robados y compartidos entre ciberdelincuentes. "La proliferación de datos obtenidos ilegalmente ofrece a los actores de amenazas amplias oportunidades para eludir las medidas y controles de seguridad de las organizaciones, lo que permite a grupos de ransomware como LockBit retener datos para pedir un rescate, o venderlos o exponerlos en mercados ilícitos”.
Modelos de ransomware basados en servicios
La mayoría de las bandas de ransomware operan con un modelo basado en servicios. El grupo paga a contratistas conocidos como afiliados para que se introduzcan en las redes, obtengan acceso administrativo y desplieguen su programa de ransomware a cambio de una gran parte de cualquier rescate que paguen las víctimas. Muchos de estos afiliados compran a su vez el acceso a las redes a otros ciberdelincuentes conocidos como proveedores de acceso inicial, y estos proveedores a menudo se basan en credenciales robadas para obtener dicho acceso, especialmente credenciales para servicios de acceso remoto como VPN y Protocolo de Escritorio Remoto (RDP).
El grupo de ransomware de mayor éxito en 2022 fue LockBit, cuya actividad se disparó después de que otra conocida banda de ransomware llamada Conti cerrara sus operaciones en mayo. LockBit consiguió atraer a muchos de los antiguos colaboradores de Conti renovando su programa de afiliados con mejores ofertas. El año pasado, Flashpoint registró 3.164 víctimas que las bandas de ransomware hicieron públicas, lo que supone un aumento del 7% respecto al año anterior. Basándose en las tendencias observadas en 2023, la empresa estima que el número de víctimas de este año va camino de superar la cifra de 2022.
"A diferencia de la mayoría de los equipos de seguridad de las organizaciones modernas, los actores de amenazas no operan en silos y, en cambio, unen recursos mientras aprenden unos de otros", dijo la compañía. "Flashpoint está descubriendo que los actores de amenazas adeptos y las bandas de ransomware comparten cada vez más código, además de tácticas, herramientas y procedimientos, en gran parte gracias a la proliferación de los mercados ilícitos"
Al igual que las bandas de ransomware van y vienen en lo que parece un ciclo interminable de cambio de marca, los mercados ilegales también lo hacen. Aunque las fuerzas de seguridad han desmantelado o cerrado por sí mismas varios mercados de ciberdelincuentes importantes y de larga duración (entre los que destacan SSNDOB, Raid Forums e Hydra), otros han aparecido rápidamente para ocupar su lugar. Los ciberdelincuentes suelen mantener canales de comunicación alternativos como Telegram, donde pueden mantenerse informados entre sí y anunciar nuevos mercados tras la desaparición de uno de ellos. De hecho, sólo el año pasado Flashpoint registró la aparición de 190 nuevos mercados ilícitos. Un foro que se anunciaba como sustituto de Raid Forums pasó de tener 1.500 miembros en marzo de 2022 a más de 190.000 en noviembre.
"Los mercados ilícitos tienen un impacto directo en las violaciones de datos y los ciberataques", dijo Flashpoint. "Los estafadores, los intermediarios de acceso inicial, los grupos de ransomware y los grupos de amenazas persistentes avanzadas (APT) recurren por igual a estos mercados, tiendas y foros para comerciar con credenciales robadas y registros personales, que se aprovechan en una variedad de actividades ilícitas".
¿Cómo obtienen los atacantes las credenciales?
Las filtraciones de datos son una de las principales fuentes de credenciales expuestas, pero aunque la principal causa de filtraciones de datos individuales es la piratería informática, este método sólo es responsable del 28% de las credenciales y registros filtrados que se abren camino en los mercados clandestinos. Más del 71% de las credenciales y registros personales se filtraron a partir de sólo el 5% de las filtraciones de datos y fueron el resultado de configuraciones erróneas de bases de datos y servicios.
"Estos datos demuestran que, una vez que las organizaciones contratan a proveedores para que realicen estos servicios en su nombre, esos mismos proveedores dejan a la intemperie datos sensibles de clientes y empleados", afirman los investigadores de Flashpoint. "Como tal, es crítico para los líderes empresariales tener un programa activo de gestión de riesgos de proveedores, o asegurarse de que su cadena de suministro digital está implementando controles de seguridad efectivos."
El phishing es otra forma popular de robar credenciales a los usuarios y 2022 fue un año récord para las páginas de phishing registradas por Flashpoint. Esta actividad también se ha comodotizado con kits de phishing que están disponibles rutinariamente para comprar y nuevas técnicas que se están desarrollando. Un ejemplo es EvilProxy, una plataforma de phishing como servicio que utiliza un enfoque de persona en el medio para interceptar credenciales de inicio de sesión, así como tokens de autenticación multifactor.
Los programas maliciosos, en particular los ladrones de información que pueden extraer credenciales de inicio de sesión guardadas en navegadores y otras aplicaciones, también son muy solicitados en los foros clandestinos. Además de los robos comerciales existentes, como Raccoon, RedLine y Vidar, en 2022 entraron en el mercado nuevos programas de este tipo, como AcridRain y TyphonStealer. "Los ladrones han sido una herramienta prolífica en 2022, responsables de suministrar a las tiendas de registros cantidades masivas de credenciales comprometidas", dijeron los investigadores de Flashpoint. "El uso de robos ha estado vinculado a varias brechas de alto perfil, en particular por la banda de extorsión de datos LAPSUS$".
Por último, los exploits de vulnerabilidades conocidas también son un producto muy solicitado y pueden dar lugar a filtraciones de datos. Los analistas de Flashpoint registraron 766 casos en los que los ciberdelincuentes hablaban de vulnerabilidades por identificador CVE en foros clandestinos, y los precios de los exploits fiables oscilaban entre 2.000 y 4.000 dólares, pero llegaban hasta los 10.000 dólares en el caso de los más avanzados. Las vulnerabilidades armadas más mencionadas el año pasado fueron CVE-2021-35587, CVE-2021-39144, CVE-2022-21497, CVE-2022-22960, CVE-2022-24112, CVE-2022-24706, CVE-2022-31675, CVE-2022-36804, CVE-2022-40684 y CVE-2022-41045.
