Se ha identificado que los estados nacionales compran en foros rusos sobre delitos cibernéticos malware que pueden utilizar para borrar datos de las computadoras en ataques de piratería hostiles. Los foros de piratería de habla rusa, incluidos Exploit y XSS, gestionan mercados negros de herramientas y servicios utilizados por ciberdelincuentes que intentan ganar dinero pirateando sistemas informáticos y robando datos. Según Sergey Shykevich, experto en inteligencia de amenazas de la empresa de seguridad cibernética Check Point Software, los estados nacionales utilizan cada vez más foros clandestinos sobre delitos cibernéticos para hacerse pasar por ciberdelincuentes y piratas informáticos. «Los estados nacionales entienden que pretender estar involucrados en el hacktivismo les permite negarlo», dijo a Computer Weekly. «No quieren ser acusados, incluso si todo el mundo sabe que se trata de Rusia o Irán». Foros rusos Algunos de los foros sobre delitos cibernéticos de Rusia funcionan desde hace más de 20 años. Uno de los foros de habla rusa más antiguos es Exploit, que se creó en 2000 y contiene un millón de mensajes sobre más de 200.000 temas, dijo Shykevich. «Ofrecen todo lo que puedas imaginar», dijo a Computer Weekly. “Todo comienza con las vulnerabilidades del software. Puede alquilar malware, ransomware como servicio y spam como servicio para distribuir correos electrónicos de phishing falsos y actualmente incluso IA. [artificial intelligence]-servicios relacionados y plataformas profundamente falsas «. Los foros generalmente existen en la web profunda y no requieren un navegador Tor especializado para acceder. Pero son estrictamente miembros únicamente. Irán, sospechoso de comprar software de limpieza. Check Point descubrió el año pasado que foros clandestinos rusos ofrecían software de limpieza, diseñado para destruir datos informáticos de forma irreversible. El software de limpieza no tiene ningún interés para los ciberdelincuentes que normalmente habitan los foros de piratería de Rusia, lo que sugiere fuertemente la participación de un Estado-nación. «Vimos a alguien, probablemente el gobierno iraní, buscando un software de limpieza», dijo Shykevich. Los grupos de hackers patrocinados por el Estado están mejor financiados que los típicos grupos de ciberdelincuentes y no tienen reparos en anunciar su poder adquisitivo, afirmó Shykevich. Por lo general, pagan depósitos mayores a los administradores de foros sobre delitos cibernéticos que otros miembros de la comunidad de hackers. «A partir de todo esto, podemos evaluar con un nivel de confianza relativamente alto que no se trata de ciberdelincuentes habituales», afirmó Shykevich. Gastan dinero acumulando reservas (bancarias) de valiosos exploits de día cero que pueden usarse para ingresar a los sistemas informáticos de destino. “Vemos actores de amenazas que dicen que son hazañas bancarias. Sus presupuestos son ilimitados”, afirmó Shykevich. Los piratas informáticos de los Estados-nación suelen añadir otra capa de cobertura mediante el uso de herramientas legítimas de prueba de seguridad cibernética (que están fácilmente disponibles en los foros rusos sobre delitos cibernéticos) para sondear las redes de los sistemas informáticos vulnerables. Es menos probable que despierten sospechas que las herramientas de piratería hechas a medida. Shykevich estima que sólo una de cada 10 personas que utilizan herramientas de prueba de penetración son verdaderos expertos en seguridad. «La mayoría de las pruebas son malos actores», dijo. Los foros funcionan como un negocio Los miembros de los foros clandestinos rusos operan como negocios típicos y se preocupan por las ganancias y los ingresos mensuales de la venta de sus exploits y servicios de piratería. En Rusia, muestran abiertamente su riqueza. Uno de los ciberdelincuentes más famosos de Rusia, por ejemplo, supuestamente gastó más de medio millón de dólares en una ostentosa boda en Moscú. Cualquiera que solicite unirse a un foro puede esperar someterse a una investigación para asegurarse de que es un verdadero ciberdelincuente y no un agente de la ley o un investigador de seguridad. Las cuotas de membresía oscilan entre £ 50 y varios miles. Los foros tienen sistemas de reglas y árbitros que pueden emitir veredictos cuando las partes tienen disputas sobre pagos. Los visitantes pueden esperar encontrar una “cadena de muerte” completa de servicios de piratería. Agentes de acceso inicial La cadena comienza con los agentes de acceso inicial. Venden credenciales para acceder a los sistemas informáticos de las empresas, a través de VPN o herramientas comerciales de acceso remoto, como AnyDesk, por sumas relativamente pequeñas. Check Point, por ejemplo, identificó a un corredor que vendía credenciales de acceso para una empresa japonesa anónima que utilizaba las herramientas de acceso remoto AnyDesk por 3.000 dólares. Dichos anuncios no nombran a las empresas objetivo para proteger sus identidades de investigadores de seguridad y policías encubiertos. Pero sí indican los ingresos del objetivo, una métrica importante para los atacantes de ransomware que saben que pueden obtener rescates más altos de empresas más ricas. “Evalúan el valor de un acceso específico en función de los ingresos de la empresa y de cuánto pueden extorsionarla. Cuanto más grande es la empresa o más rica es la industria, más pueden extorsionar”, afirmó Shykevich. Spam y días cero Los servicios que se ofrecen incluyen servidores de spam que distribuyen correos electrónicos no deseados pagando una tarifa. Muchos están recurriendo a la IA para crear correos electrónicos que no serán detectados por los filtros de spam y están obteniendo tasas de éxito del 70%. Algunos delincuentes se especializan en desarrollar exploits a partir de vulnerabilidades de día cero recién descubiertas a los pocos días de su publicación, mucho más rápido de lo que las empresas pueden parchear. Otros servicios permiten a las personas tomar malware existente y cambiar el código para evitar la detección por parte del software antivirus. “Una de las cosas importantes para los ciberdelincuentes es que no se detecte su malware”, afirmó Shykevich. El malware modificado puede sobrevivir durante años sin ser detectado. Ransomware En la mayoría de los foros clandestinos rusos, el ransomware está prohibido, pero al menos un foro ruso ofrece ransomware como servicio, según la investigación de Shykevich. Los servicios son proporcionados por grupos que desarrollan el código de ransomware y evaluadores de penetración criminal que hacen el arduo trabajo de acceder a las redes de la empresa. Los desarrolladores de ransomware suelen obtener una parte del 20 % al 30 % de los ingresos de un ataque de ransomware exitoso. Dado que algunos pagos de rescate ascienden a decenas de millones, las tarifas son significativas. Los mercados clandestinos rusos tienen la regla de que no se espera que los usuarios ataquen a otros países de habla rusa. Hacerlo probablemente resultaría en arresto o encarcelamiento, dijo Shykevich. «Mientras no apunten a esos países, pueden hacer lo que quieran», afirmó. “Es una doble victoria. Ganan dinero para Rusia y demuestran que Occidente es vulnerable a los ciberataques”.

Source link