26 nov. 2020

Estado del cibercrimen internacional [Group-IB]

El informe Hi-Tech Crime Trends 2020/2021 de Group-IB (mirror) examina varios aspectos de las operaciones de la industria del ciberdelito y predice cambios en el panorama de amenazas para varios sectores, a saber, la industria financiera, las telecomunicaciones, el comercio minorista, la fabricación y el sector energético.

El daño financiero más severo se produjo como resultado de la actividad del ransomware según el informe de Group-IB. También estuvo marcado por el auge del mercado clandestino para la venta de acceso a redes corporativas y un crecimiento de más del doble del mercado de tarjetas. El enfrentamiento entre varios grupos de delincuentes informáticos progubernamentales vio a nuevos jugadores entrar en escena, mientras que algunos grupos previamente conocidos reanudaron sus operaciones.

Los autores también analizan campañas dirigidas a instalaciones de infraestructura crítica, que son un objetivo cada vez más frecuente de los servicios de inteligencia en todo el mundo. Los pronósticos y recomendaciones establecidos en Hi-Tech Crime Trends 2020-2021 buscan prevenir daños financieros y tiempos de inactividad de fabricación.

Su propósito también es ayudar a las empresas a adoptar medidas preventivas para contrarrestar ataques dirigidos, ciberespionaje y operaciones ciberterroristas.

El ransomware le costó al mundo más de mil millones de dólares

A finales de 2019 y todo 2020 estuvieron marcados por un aumento sin precedentes de ataques de ransomware. Ni las empresas del sector privado ni las agencias gubernamentales resultaron ser inmunes a la plaga del ransomware. Durante el período del informe, se informaron más de 500 ataques de ransomware exitosos en más de 45 países.

Dado que los atacantes están motivados únicamente por las ganancias financieras, cualquier empresa, independientemente de su tamaño y sector, podría ser víctima de ataques de ransomware.

Mientras tanto, si los conjuntos de herramientas técnicas y las capacidades de restauración de datos necesarios no están en su lugar, los ataques de ransomware no solo podrían causar tiempo de inactividad en la fabricación, sino también detener las operaciones.

Según las estimaciones conservadoras de Group-IB, el daño financiero total de las operaciones de ransomware ascendió a más de mil millones de dólares, pero es probable que el daño real sea mucho mayor. Las víctimas a menudo guardan silencio sobre los incidentes y pagan rescates silenciosamente, mientras que los atacantes no siempre publican datos de redes comprometidas.

El otro brote

Estados Unidos representa aproximadamente el 60% de todos los incidentes conocidos. Le siguen los países europeos (principalmente el Reino Unido, Francia y Alemania), que juntos representan aproximadamente el 20% de todos los ataques de ransomware. Los países de América del Norte y del Sur (excluyendo los EE. UU.) Están al 10% y los estados asiáticos al 7%.

Las cinco industrias más atacadas incluyen manufactura (94 víctimas), comercio minorista (51 víctimas), agencias estatales (39 víctimas), atención médica (38 víctimas) y construcción (30 víctimas).

Maze y REvil

Se considera que Maze y REvil tienen el mayor apetito: se cree que los operadores de estas dos cepas están detrás de más de la mitad de todos los ataques exitosos. Ryuk, NetWalker y DoppelPaymer ocupan el segundo lugar.

La pandemia de ransomware fue desencadenada por un desarrollo activo de programas de afiliados públicos y privados que reúnen a los operadores de ransomware y los ciberdelincuentes involucrados en comprometer las redes corporativas. Otra razón para el aumento de los ataques de ransomware es que las soluciones de seguridad tradicionales, que todavía utilizan ampliamente muchas empresas en el mercado, a menudo no detectan ni bloquean la actividad de ransomware en las primeras etapas.

Los operadores de ransomware compran el acceso y luego cifran los dispositivos en la red. Después de recibir el rescate de la víctima, pagan una tarifa fija a sus socios bajo el programa de afiliados. Las principales formas de obtener acceso a las redes corporativas incluyen ataques de fuerza bruta en interfaces de acceso remoto (RDP, SSH, VPN), malware (por ejemplo, descargadores) y nuevos tipos de botnets (botnets de fuerza bruta).

Botnets en acción

Estos se utilizan para ataques distribuidos de fuerza bruta desde una gran cantidad de dispositivos infectados, incluidos servidores. A finales de 2019, los operadores de ransomware adoptaron una nueva técnica. Comenzaron a descargar toda la información de las organizaciones de víctimas y luego chantajearon lo cual los llevó a aumentar las posibilidades de que se pagara el rescate.

Maze fue pionero en la táctica de publicar datos confidenciales como palanca para extorsionar dinero. Si una víctima se niega a pagar el rescate, corre el riesgo no solo de perder todos sus datos, sino también de que se filtren.

En junio de 2020, REvil comenzó a subastar datos robados. El informe contiene recomendaciones para contrarrestar los ataques de ransomware tanto en términos de medidas tecnológicas para los equipos de ciberseguridad corporativos como para aumentar la experiencia de los equipos de ciberseguridad.

7 nuevos grupos de APT se unieron al enfrentamiento del servicio de inteligencia global

Las operaciones militares realizadas por varios servicios de inteligencia son cada vez más comunes. Group-IB ha identificado una tendencia continua en la que la destrucción física de la infraestructura está reemplazando al espionaje. Los kits de herramientas para atacantes se están actualizando con instrumentos destinados a ataques en redes con brecha de aire.

La industria nuclear se está convirtiendo en el objetivo número uno para los actores de amenazas patrocinados por el estado. A diferencia del período del informe anterior, durante el cual no se observaron ataques, el actual estuvo marcado por ataques a instalaciones de energía nuclear en Irán e India. Se intentó un ataque flagrante en Israel, donde los actores de la amenaza obtuvieron acceso a algunos de los sistemas de tratamiento de agua de Israel y trataron de alterar los niveles de cloro del agua. Si hubiera tenido éxito, el ataque habría provocado escasez de agua o incluso víctimas civiles.

Los grupos APT patrocinados por el estado no están perdiendo interés en el sector de las telecomunicaciones. Durante el período de revisión, fue blanco de al menos 11 grupos afiliados a los servicios de inteligencia. Los principales objetivos de los actores de amenazas siguen siendo espiar a los operadores de telecomunicaciones o intentar inutilizar la infraestructura.
Los actores de amenazas también han establecido un nuevo récord en potencia de ataque DDoS: 2,3 Tb por segundo y 809 millones de paquetes por segundo.

El secuestro de BGP y las fugas de ruta también siguen siendo un problema grave. Durante el año pasado, se hicieron públicos nueve casos importantes.

La mayoría de los actores de amenazas patrocinados por el estado se originan en China (23), seguidos de Irán (8 grupos APT), Corea del Norte y Rusia (4 grupos APT cada uno), India (3) y Pakistán y Gaza (2 cada uno). Se informa que Corea del Sur, Turquía y Vietnam tienen solo un grupo APT cada uno.

Según los datos analizados , Asia-Pacífico se convirtió en la región más atacada por los actores de amenazas patrocinados por el estado. Se llevaron a cabo un total de 34 campañas en esta región, siendo los grupos APT de China, Corea del Norte, Irán y Pakistán los más activos. Se registraron al menos 22 campañas en el continente europeo, con ataques llevados a cabo por grupos APT de China, Pakistán, Rusia e Irán. Oriente Medio y África fueron el escenario de 18 campañas realizadas por atacantes pro gubernamentales de Irán, Pakistán, Turquía, China y Gaza.

Los investigadores de ciberseguridad también han detectado siete grupos APT previamente desconocidos, a saber, Tortoiseshell (Irán), Poison Carp (China), Higaisa (Corea del Sur), AVIVORE (China), Nuo Chong Lions (Arabia Saudita), así como Chimera y WildPressure, cuyo La afiliación geográfica sigue siendo desconocida.

Además, 6 grupos conocidos que habían pasado desapercibidos en los últimos años reanudaron sus operaciones.

Las ventas de acceso a redes corporativas comprometidas se multiplicaron

Las ventas de acceso a redes corporativas comprometidas han aumentado de año en año y alcanzaron su punto máximo en 2020. Sin embargo, es difícil evaluar el tamaño del mercado para vender acceso, ya que las ofertas publicadas en foros clandestinos a menudo no incluyen el precio, mientras que algunas los acuerdos se cierran en privado.

Sin embargo, las tecnologías de Group-IB para monitorear foros clandestinos (que permiten ver publicaciones eliminadas y ocultas) ayudaron a los expertos de la compañía a evaluar el tamaño total del mercado para el acceso vendido en el período de revisión (segundo semestre de 2019 a primer semestre de 2020): U$S 6,2 millones.

Este es un aumento de cuatro veces en comparación con el período de revisión anterior (segundo semestre de 2018 a primer semestre de 2019), cuando totalizó U$S 1,6 millones.

Ataques patrocinados

Sorprendentemente, los atacantes patrocinados por el estado se unieron a este segmento del mercado de los ciberdelincuentes en busca de ingresos adicionales. Como tal, en el verano de 2020, en un foro clandestino, un vendedor ofreció acceso a varias redes, incluidas algunas pertenecientes a departamentos gubernamentales de EE. UU., Contratistas de defensa (Airbus, Boeing, etc.), gigantes de TI y empresas de medios.

El costo del acceso a las empresas listadas fue cercano a los U$S 5 millones. Solo en el primer semestre de 2020, se pusieron a la venta 277 ofertas de acceso a redes corporativas en foros clandestinos.

También ha crecido el número de vendedores. Durante ese período, 63 vendedores estuvieron activos y 52 de ellos comenzaron a vender acceso en 2020. A modo de comparación, durante todo 2018, solo 37 vendedores de acceso estuvieron activos, mientras que en 2019 hubo 50 vendedores que ofrecieron acceso a 130 redes corporativas. En total, las ventas de acceso a redes corporativas crecieron un 162% respecto al período anterior (138 ofertas frente a 362).

Acceso a redes corporativas

Después de analizar las ofertas de acceso a las redes corporativas, los expertos de Group-IB encontraron correlaciones con los ataques de ransomware:

La mayoría de los actores de amenazas ofrecieron acceso a empresas estadounidenses (27%), mientras que la fabricación fue la industria más atacada en 2019 (10,5%). En 2020, el acceso a redes de agencias estatales (10,5%), instituciones educativas (10,5%) y empresas de TI (9%) tuvo una alta demanda.

Cabe señalar que los vendedores de acceso a redes corporativas cada vez rara vez mencionan los nombres de las empresas, su ubicación geográfica y la industria, lo que hace que sea casi imposible identificar a la víctima sin contactar a los atacantes.

Vender el acceso a la red de una empresa suele ser solo una etapa del ataque: los privilegios obtenidos pueden usarse tanto para lanzar ransomware como para robar datos, con el objetivo de venderlos más tarde en foros clandestinos o espiar.

El mercado de datos de tarjetas de crédito robadas alcanzó casi U$S 2 mil millones. Durante el período de revisión, el mercado de tarjetas creció un 116%, de U$S 880 millones a U$S 1,9 mil millones.

Crecimiento del cibercrimen

El rápido crecimiento se aplica tanto a los datos textuales (números de tarjetas bancarias, fechas de vencimiento, nombres de titulares, direcciones, CVV) como a los volcados (datos de banda magnética).

La cantidad de datos textuales puestos a la venta aumentó un 133%, de 12,5 a 28,3 millones de tarjetas, mientras que los volcados aumentaron un 55%, de 41 a 63,7 millones.

El precio máximo para los datos textuales de la tarjeta es U$S 150 y U$S 500 por volcado. Los volcados se obtienen principalmente infectando computadoras con terminales POS conectados con troyanos especiales y, por lo tanto, recopilando datos de la memoria de acceso aleatorio.

Durante el período de revisión, se encontró que 14 troyanos utilizados para recolectar vertederos estaban activos. Los ciberdelincuentes buscan obtener datos relacionados con tarjetas de crédito y débito emitidas por bancos estadounidenses: estos representan más del 92% de todas las tarjetas bancarias comprometidas.

Los datos de tarjetas bancarias de clientes bancarios en India y Corea del Sur son el segundo y tercer objetivo más deseable para los ciberdelincuentes. Durante el período de revisión, el precio total de todos los volcados de tarjetas bancarias ofrecidos a la venta ascendió a U$S 1,5 mil millones, mientras que los datos textuales, a U$S 361,7 millones.

Los datos textuales se recopilan a través de sitios web de phishing y troyanos bancarios para PC / Android, comprometiendo sitios web de comercio electrónico y utilizando rastreadores JS. Estos últimos fueron uno de los principales instrumentos para robar grandes cantidades de datos de pago durante el último año. Los rastreadores de JS también se hicieron más populares a la luz de la tendencia de revender el acceso a varios sitios web y organizaciones en foros clandestinos.

Group-IB está monitoreando actualmente las actividades de 96 familias de rastreadores JS. Este es un aumento de 2,5 veces en comparación con el período del informe anterior, durante el cual había 38 familias en el radar de la empresa. Según los hallazgos, durante el año pasado, casi 460.000 tarjetas bancarias se vieron comprometidas con rastreadores JS.

La amenaza de filtración de datos de tarjetas bancarias es más grave para las empresas minoristas que tienen canales de venta en línea, las empresas de comercio electrónico que ofrecen bienes y servicios en línea y los bancos que, sin saberlo, se ven involucrados en incidentes.

Los principales escenarios para la recolección ilegal de datos de tarjetas bancarias y los países atacados con mayor frecuencia (Estados Unidos, India, Corea del Sur) seguirán siendo los mismos.

América Latina Podría convertirse en un objetivo cada vez más atractivo para los usuarios de tarjetas, ya que cuenta con una comunidad de hackers madura con experiencia en el uso de troyanos para este propósito.

El phishing crece un 118%

Entre el segundo semestre de 2019 y el primer semestre de 2020, la cantidad de recursos web de phishing encontrados y bloqueados por Group-IB aumentó en un 118% en comparación con el período del informe anterior.

Los analistas mencionan la pandemia global y los bloqueos como las principales razones

El web-phishing, que es una de las formas más sencillas de ganar dinero en la industria de los ciberdelincuentes, atrajo a quienes perdieron sus ingresos. La mayor demanda de compras en línea creó un entorno favorable para los phishers.

Se adaptaron rápidamente a esta tendencia y comenzaron a llevar a cabo ataques de phishing en servicios y marcas individuales que antes no tenían mucho atractivo financiero para ellos.

Los estafadores también cambiaron sus tácticas

En años anteriores, los atacantes finalizaron sus campañas después de que se retiraran sitios web fraudulentos y se cambiaran rápidamente a otras marcas. Hoy, en cambio, están automatizando sus ataques y reemplazando las páginas bloqueadas por otras nuevas.

Desde principios de año, ha habido un aumento en la ingeniería social avanzada, es decir, cuando se utilizan escenarios de múltiples etapas en ataques de phishing. Como parte de estos esquemas de phishing cada vez más populares, los actores de amenazas primero vigilan a la víctima.

Establecen contacto con el individuo objetivo (por ejemplo, a través de un mensajero), crean una atmósfera de confianza y solo entonces dirigen a la víctima a una página de phishing.

Los enlaces únicos resultaron ser otra tendencia de phishing del año pasado. Después de que un usuario recibe un enlace y hace clic en él al menos una vez, no será posible obtener el mismo contenido nuevamente para recolectar evidencia. Esto complica significativamente el proceso de eliminación de recursos de phishing. La mayoría de las páginas de phishing web imitaban los servicios en línea (39,6%).

Los phishers, en particular, recopilaron credenciales de inicio de sesión de cuentas de usuario en Microsoft, Netflix, Amazon, eBay, Valve Steam, etc.

Los servicios de línea fueron seguidos por los proveedores de servicios de correo electrónico (15,6%), las organizaciones financieras (15%), los sistemas de almacenamiento en la nube (14,5%), los servicios de pago (6,6%) y las casas de apuestas (2,2%).

Fuente: Por Marcelo Lozano – General Publisher IT Connect Latam

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!