Quién es quién en la clandestinidad de los ciberdelincuentes
Los grupos de ciberdelincuentes se están especializando como desarrolladores de malware, intermediarios de acceso inicial, proveedores de ransomware como servicio, intermediarios de datos y otras funciones.
Nos encontramos en un momento en el que los ciberdelincuentes, incluidas las bandas de ransomware, se han establecido como empresas organizadas e ilícitas en lugar de una operación de hacking unipersonal. Han surgido cada vez más grupos de ransomware y los ya existentes siguen prosperando en términos de éxito repetido en la violación de organizaciones prominentes.
El aumento del éxito de las bandas de ransomware, los grupos de extorsión y los atacantes DDoS no es en absoluto accidental. Detrás de un nombre de grupo elegante hay una estructura organizada que comprende actores de amenazas en diferentes niveles que trabajan en sincronía para cumplir el objetivo final, y cada uno obtiene su parte.
Con la evolución de los ciberataques que emplean nuevas tácticas y técnicas, ¿qué hay que decir de los roles clave que asumen los ciberdelincuentes? A continuación se presentan algunas funciones clave asumidas por los actores de las amenazas que han evolucionado con el tiempo.
Agentes de acceso inicial (IAB)
Los agentes de acceso inicial (IAB) se refieren a la clase de actores de amenazas que venden el acceso a las redes empresariales a un comprador viable. Esto se hace a través de los mercados de filtración de datos, foros o canales cerrados de aplicaciones de mensajería y grupos de chat. Sin embargo, los IAB no necesariamente realizan actividades perjudiciales posteriores como la exfiltración, el cifrado y el borrado de datos. Es el comprador quien decide cómo piensa abusar de este acceso, ya sea para robar secretos comerciales, desplegar ransomware, instalar spyware o filtrar datos.
"En el pasado, los intermediarios de acceso inicial (IAB) solían vender principalmente el acceso de la empresa a los delincuentes que pretendían destruir los datos de una empresa, o robar IPs, o datos financieros de las empresas comprometidas", dice Ben Richardson, ingeniero de software senior en Cloud RADIUS, un proveedor de autenticación sin contraseña para la nube. "Por aquel entonces no estaban tan solicitados, principalmente porque el volumen de ataques era bajo. Normalmente los contrataban los competidores de las empresas para el espionaje y el robo".
Richardson afirma que la era del ransomware ha provocado un "aumento exponencial" de la demanda de IABs. Estos intermediarios encuentran ahora un nuevo negocio a través de las bandas de ransomware que contratan a los IAB para comprometer a las empresas objetivo, de modo que la banda pueda empezar a cifrar los archivos sensibles y destruir las copias de seguridad.
X como servicio
En el contexto actual, el término "x como servicio" suele materializarse como plataformas de ransomware como servicio (RaaS) o de malware como servicio (MaaS) que constituyen un modelo de negocio relativamente nuevo. Al igual que el modelo de software como servicio (SaaS), RaaS es un método para proporcionar herramientas de ransomware, kits de phishing e infraestructura de TI a cambio de una cuota a los "afiliados" que desean realizar ataques.
"En este modelo, estos proveedores pueden permanecer legalmente seguros, ya que como proveedores no son responsables de cómo se utiliza su servicio", dice Logan Gilbert, arquitecto de soluciones globales en Deep Instinct. Al ser un proveedor de servicios, estos grupos pueden ganar una tajada independientemente del éxito de los ataques de los clientes. "Son realmente un proveedor de servicios, y la realización del valor operativo depende de sus clientes".
En el pasado, llevar a cabo una operación de ataque a gran escala requería que los ciberdelincuentes fueran hackers cualificados, pero los modelos x-as-a-service han aflojado esas barreras de entrada. "Inicialmente, los ciberdelincuentes eran hackers expertos que generalmente realizaban operaciones a gran escala por su cuenta", afirma David Kuder, analista senior de inteligencia de ciberamenazas de CriticalStart. "Esto requería muchos recursos y conllevaba un gran riesgo. En los últimos años, los ciberdelincuentes se han volcado en la "caza mayor", dirigiéndose a grandes organizaciones y obteniendo enormes beneficios. A medida que esta estrategia comenzó a ponerse de moda, más ciberdelincuentes se adentraron en el espacio de x-como-servicio para incluir corredores de acceso inicial, ransomware como servicio y malware como servicio, por nombrar algunos. El aumento de x como servicio hizo posible que un ciberdelincuente fuera hábil en un solo dominio, mientras aprovechaba los servicios de todos los demás grupos".
Afiliados al ransomware
Los afiliados al ransomware pueden considerarse "contratistas" versátiles contratados por los grupos de ransomware para realizar tareas operativas: desde la compra del acceso inicial a las redes de los IAB o la simple obtención de credenciales robadas y volcados de datos que puedan ayudar al reconocimiento, hasta la ejecución del ataque.
Después de ejecutar un ataque y extorsión con éxito, los afiliados al ransomware ganan una comisión del importe del rescate pagado por la víctima a la operación de ransomware más grande. Para acelerar sus ataques, los afiliados pueden alquilar plataformas RaaS para cifrar archivos con "ransomware alquilado", y emplear intensivamente todas las herramientas, servicios y exploits existentes a su discreción.
"Por una tarifa baja, los afiliados obtienen acceso a un producto y servicio que, de otro modo, tendrían que desarrollar y gestionar ellos mismos. Además, los afiliados tienen acceso a los IABs y a las organizaciones ya comprometidas disponibles a un precio. Esto reduce significativamente la barrera de entrada para un afiliado. Los afiliados pueden ahora centrarse en los aspectos operativos de la extorsión de una organización", afirma Gilbert, de DeepInstinct.
Desarrolladores de malware y exploits
Esta clase de actores de amenazas crean exploits para vulnerabilidades de día cero o conocidas, que van más allá de simples ejercicios de prueba de concepto (PoC). Estos actores también pueden desarrollar malware que contenga exploits para múltiples vulnerabilidades, como hemos visto en el caso de Gitpaste-12, que contiene de 12 a más de 30 exploits.
Muchos ataques de ransomware también pueden comenzar con el despliegue de código por parte de los atacantes para dirigirse a dispositivos de acceso populares, aplicaciones, VPN y componentes de software individuales, como Log4j, incrustados en lo más profundo de las aplicaciones.
Antes, los desarrolladores de malware y exploits podían ser desde "script kiddies" hasta hackers sofisticados, pero con el tiempo, a medida que aumentaba la colaboración entre los actores de la amenaza, gran parte del desarrollo de malware sofisticado se produce dentro de los equipos de desarrollo, con ciclos de vida de desarrollo de software y documentación, como uno esperaría ver de un negocio de software legítimo, dice Gilbert.
La opinión de Gilbert se ve corroborada por las recientes filtraciones que arrojan luz sobre el funcionamiento interno de los grupos de ransomware. El año pasado, un afiliado descontento de la banda Conti (Ryuk) filtró los datos de propiedad del grupo, incluidas las herramientas de pruebas de penetración, los manuales escritos en ruso, el material de formación y los documentos que, al parecer, se proporcionan a los afiliados del grupo de ransomware.
Del mismo modo, un supuesto administrador del ransomware Babuk también filtró los archivos de proyectos y el código fuente de Visual Studio del grupo que, en lo que respecta a su organización, reflejan la estructura seguida por las empresas de software legítimas.
Por otra parte, el aumento del uso de las criptomonedas y su adopción generalizada han dado pie a una clase "nicho" de desarrolladores de exploits. Los desarrolladores que dominan la criptografía y tienen un conocimiento avanzado de los protocolos de la cadena de bloques pueden explotar los días cero y las vulnerabilidades sin parches de estas plataformas de criptomonedas antes de que sean parcheadas. Esta práctica se ha generalizado y es evidente a partir de los principales hackeos de criptomonedas.
En febrero, el caso del robo de criptodivisas de 326 millones de dólares de Wormhole surgió de una vulnerabilidad sin parchear regalada por los commits de GitHub del proyecto, visible para cualquiera. Poly Network sufrió el año pasado el "mayor hackeo de DeFi", que tuvo como resultado el robo de 611 millones de dólares en criptomonedas por parte de un supuesto hacker de sombrero blanco que quería arrojar luz sobre las vulnerabilidades de seguridad que acechaban a la plataforma. El hackeo de 34 millones de dólares de este año en Crypto.com es otro ejemplo de los desarrolladores de exploits más especializados que surgen con la evolución de los tiempos.
Grupos de amenazas persistentes avanzadas
El término "amenaza persistente avanzada" (APT, por sus siglas en inglés) ha descrito tradicionalmente a los actores de la amenaza del Estado-nación o a los grupos de ciberdelincuentes respaldados por el Estado con un objetivo específico: el sabotaje o el espionaje político durante un largo periodo de tiempo, si no simplemente el beneficio económico. Ahora, las tácticas utilizadas por las APT también están siendo adoptadas por actores de amenazas no afiliados.
Las APT suelen utilizar malware diseñado a medida con amplias capacidades de vigilancia y sigilo. Uno de los ataques APT más conocidos de todos los tiempos es el incidente Stuxnet, que aprovechó múltiples vulnerabilidades de día cero de Windows de la época para infectar ordenadores, propagarse y causar daños en el mundo real a centrifugadoras de centrales nucleares. Se cree que este "gusano informático extremadamente sofisticado" fue creado por agencias de inteligencia estadounidenses e israelíes en colaboración.
Un ejemplo más reciente de APT dirigido a los sistemas de control industrial es el malware TRITON. Descubierto en 2017, TRITON fue atrapado después de atacar una planta petroquímica de Arabia Saudí con el posible objetivo de provocar una explosión. Por suerte, un error en el código del malware activó el apagado de emergencia de los sistemas críticos y frustró el ataque.
Sin embargo, las APT no se limitan a la explotación de aparatos físicos, y la mayoría de las campañas de APT emplean ataques de spear-phishing para infiltrarse en la red, propagar silenciosamente la carga útil, exfiltrar datos, plantar puertas traseras persistentes y realizar una vigilancia encubierta de sus víctimas.
"Los grupos de APT han pasado de ser miopes en sus metas y objetivos a ser más sigilosos y estratégicos", afirma John Fung, Director de Operaciones de Ciberseguridad de MorganFranklin Consulting. Señala la preocupante tendencia de los APT a comprometer el software y el código fuente, como hemos visto con el ataque a la cadena de suministro de SolarWinds, que después de mucho debate entre los funcionarios del gobierno de Estados Unidos, se atribuyó a hackers respaldados por Rusia.
Resulta especialmente preocupante la tendencia que estamos observando a trasladar el compromiso más arriba, con proveedores de terceros, y luego corromper el software "legítimo" con sus propias cargas útiles. Veo esto como un evento de alto impacto y baja frecuencia contra el que las organizaciones tienen que protegerse de diferentes maneras en función del perfil de riesgo y la tolerancia".
Agentes de datos o de información
Los términos "agente de datos" o "agente de información" (IB) se refieren tanto a la clase legítima de proveedores de servicios como a los actores ilícitos. Por ejemplo, los IB legítimos y los servicios de agregación de datos pueden obtener datos de fuentes públicas como los registros judiciales, los registros de la propiedad y los registros de venta de inmuebles, los perfiles de las redes sociales, las guías telefónicas, los registros de constitución de empresas y los registros de matrimonio, para recopilar información sobre personas y empresas. Esta información puede compartirse legalmente con vendedores, investigadores y empresas a cambio de una tarifa.
Los corredores de datos malintencionados, en cambio, se dedican a prácticas ilegales, como la venta de material pirateado y vertidos de datos confidenciales en la web oscura y en mercados de filtración de datos. De hecho, Kuder vincula la práctica del corretaje de datos hasta la cadena de la IAB, en lo que puede describirse como un acuerdo de afiliación único.
La profesionalización de la IAB se ha visto impulsada por el rápido crecimiento del modelo RaaS en los últimos años. Estas ofertas de RaaS son desarrolladas por grupos de APT bien establecidos como Wizard Spider (RYUK RaaS), Gold Southfield (REvil RaaS) y FIN7 (DarkSide RaaS).
"Como parte de esta oferta, (estos grupos APT/RaaS) proporcionan soporte, acceso al portal, suscripciones mensuales a sus clientes, y a menudo participan en la afiliación con los clientes. En estos acuerdos de afiliación, los grupos RaaS se llevarán un porcentaje de los beneficios que obtenga cualquier afiliado por el rescate de un objetivo. Además de rescatar datos sensibles, muchos de estos grupos también ponen en peligro la información de los empleados/clientes de las organizaciones que tienen como objetivo. La información sensible se extrae y se publica en uno de los muchos sitios de la web oscura. Esto se denomina corretaje de datos. Estos datos pueden incluir SSN, información de tarjetas de crédito, historial de compras y credenciales de cuentas, y se venden junto con otras ofertas", dice Kuder.
La clandestinidad delictiva es 'un entorno comercial competitivo natural'
Mientras que el panorama de la ciberdelincuencia podría haber sido mucho más sencillo de descifrar hace años, los diferentes roles clave asumidos por los actores: desde los IAB hasta los desarrolladores de exploits y los proveedores de "as-a-service", evolucionaron a partir de "oportunidades para monetizar fases específicas de la cadena de ataque", y limitando la necesidad de que los actores sean competentes en todos los aspectos de la realización de una operación de ataque, según explica Drew Schmitt, analista principal de inteligencia de amenazas en GuidePoint Security.
Anteriormente, los atacantes ejecutaban un ataque completo de forma independiente. La tarea solía llevar mucho tiempo y no garantizaba el éxito de los resultados. Los individuos y grupos pronto encontraron su nicho con el tiempo, y "se dieron cuenta de que podían aumentar exponencialmente sus beneficios vendiendo una parte de la cadena de ataque o vendiendo el mismo malware (con diferentes configuraciones) a un grupo más amplio de compradores", dice Schmitt. "A través de este modelo pudieron ganar más dinero haciendo sustancialmente menos trabajo".
Schmitt afirma que, a medida que los distintos grupos asumían papeles principales en la clandestinidad criminal, surgió un entorno comercial competitivo natural que condujo a la creación de grupos competidores y a una serie de mercados naturales. "A medida que estos mercados se hicieron más robustos, la barra de entrada para llevar a cabo operaciones cibernéticas criminales se redujo y dio lugar a que actores menos técnicos pudieran llevar a cabo sus propias operaciones criminales".
