Economía de la extorsión

Más del 80 por ciento de los ataques de ransomware se pueden rastrear a errores de configuración comunes en software y dispositivos.1

Los ciberdelincuentes se envalentonan por la economía subterránea del ransomware

Si bien el ransomware sigue siendo un tema que acapara los titulares, en última instancia, hay un ecosistema relativamente pequeño y conectado de jugadores que impulsan este sector de la economía del cibercrimen. La especialización y consolidación de la economía de la ciberdelincuencia ha impulsado al ransomware como servicio (RaaS) para que se convierta en un modelo de negocio dominante, permitiendo a una gama más amplia de delincuentes, independientemente de su experiencia técnica, implementar ransomware.

Vea la sesión informativa digital de Cyber Signals donde Vasu Jakkal, CVP de Microsoft Security, entrevista a los principales expertos en inteligencia de amenazas sobre la economía del ransomware y cómo las organizaciones pueden ayudar a protegerse.

ás del 80 por ciento de los ataques de ransomware se pueden rastrear a errores de configuración comunes en software y dispositivos.1

Los ciberdelincuentes se envalentonan por la economía subterránea del ransomware

Si bien el ransomware sigue siendo un tema que acapara los titulares, en última instancia, hay un ecosistema relativamente pequeño y conectado de jugadores que impulsan este sector de la economía del cibercrimen. La especialización y consolidación de la economía de la ciberdelincuencia ha impulsado al ransomware como servicio (RaaS) para que se convierta en un modelo de negocio dominante, permitiendo a una gama más amplia de delincuentes, independientemente de su experiencia técnica, implementar ransomware.

Vea la sesión informativa digital de Cyber Signals donde Vasu Jakkal, CVP de Microsoft Security, entrevista a los principales expertos en inteligencia de amenazas sobre la economía del ransomware y cómo las organizaciones pueden ayudar a protegerse.

Sesión informativa sobre amenazas

El nuevo modelo de negocio ofrece nuevos conocimientos para los defensores

Así como muchas industrias han cambiado hacia los trabajadores temporales por eficiencia, los ciberdelincuentes están alquilando o vendiendo sus herramientas de ransomware por una parte de las ganancias, en lugar de realizar los ataques ellos mismos.

La economía de Ransomware as a Service permite a los ciberdelincuentes comprar acceso a las cargas útiles de Ransomware y la fuga de datos, así como a la infraestructura de pago. Las «pandillas» de ransomware son en realidad programas RaaS como Conti o REvil, utilizados por muchos actores diferentes que cambian entre programas RaaS y cargas útiles.

RaaS reduce la barrera de entrada y ofusca la identidad de los atacantes detrás del rescate. Algunos programas tienen más de 50 «afiliados», ya que se refieren a los usuarios de su servicio, con diferentes herramientas, oficios y objetivos. Al igual que cualquier persona con un automóvil puede conducir para un servicio de viaje compartido, cualquier persona con una computadora portátil y una tarjeta de crédito dispuesta a buscar en la web oscura herramientas de prueba de penetración o malware listo para usar puede unirse a esta economía.

Esta industrialización del cibercrimen ha creado roles especializados, como los corredores de acceso que venden acceso a las redes. Un solo compromiso a menudo involucra a múltiples ciberdelincuentes en diferentes etapas de la intrusión.

Los kits RaaS son fáciles de encontrar en la web oscura y se anuncian de la misma manera que los productos se anuncian en Internet.

Un kit RaaS puede incluir soporte de servicio al cliente, ofertas agrupadas, reseñas de usuarios, foros y otras características. Los ciberdelincuentes pueden pagar un precio fijo por un kit RaaS, mientras que otros grupos que venden RaaS bajo el modelo de afiliado se llevan un porcentaje de las ganancias.

Más información sobre este diagrama

Los ataques de ransomware implican decisiones basadas en configuraciones de redes y difieren para cada víctima, incluso si la carga útil del ransomware es la misma. El ransomware culmina un ataque que puede incluir la exfiltración de datos y otros impactos. Debido a la naturaleza interconectada de la economía cibercriminal, las intrusiones aparentemente no relacionadas pueden construirse entre sí. El malware Infostealer que roba contraseñas y cookies se trata con menos gravedad, pero los ciberdelincuentes venden estas contraseñas para permitir otros ataques.

Estos ataques siguen una plantilla de acceso inicial a través de la infección de malware o la explotación de una vulnerabilidad y luego el robo de credenciales para elevar los privilegios y moverse lateralmente. La industrialización permite que los ataques de ransomware prolíficos e impactantes sean realizados por atacantes sin sofisticación ni habilidades avanzadas. Desde el cierre de Conti, hemos observado cambios en el panorama del ransomware. Algunos afiliados que estaban desplegando Conti se movieron a cargas útiles de ecosistemas RaaS establecidos como LockBit y Hive, mientras que otros implementaron simultáneamente cargas útiles de múltiples ecosistemas RaaS.

Nuevos RaaS como QuantumLocker y Black Basta están llenando el vacío dejado por el cierre de Conti. Dado que la mayoría de la cobertura de ransomware se centra en las cargas útiles en lugar de los actores, es probable que este cambio de carga útil confunda a los gobiernos, las fuerzas del orden, los medios de comunicación, los investigadores de seguridad y los defensores sobre quién está detrás de los ataques.

Informar sobre ransomware puede parecer un problema de escala sin fin; sin embargo, la realidad es un conjunto finito de actores que utilizan el conjunto de técnicas.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.