por Lily Hay Newman
Los ataques de ransomware, incluyendo los de la variedad masivamente disruptiva y peligrosa, han resultado difíciles de combatir de manera integral. Los hospitales, las agencias gubernamentales, las escuelas e incluso las empresas de infraestructura crítica continúan enfrentando ataques debilitantes y grandes demandas de rescate por parte de los piratas informáticos. Pero a medida que los gobiernos de todo el mundo y las fuerzas del orden en los Estados Unidos se han tomado en serio la toma de medidas enérgicas contra el ransomware y han comenzado a hacer algunos progresos, los investigadores están tratando de mantenerse un paso por delante de los atacantes y anticipar a dónde pueden dirigirse las pandillas de ransomware si su principal jugada se vuelve poco práctica.
En la conferencia de seguridad RSA en San Francisco el lunes, el investigador de estafas digitales desde hace mucho tiempo Crane Hassold presentará hallazgos que advierten que sería lógico que los actores de ransomware eventualmente conviertan sus operaciones en ataques de compromiso de correo electrónico comercial (BEC) a medida que el ransomware se vuelve menos rentable o lleva un mayor riesgo para los atacantes. En los EE.UU., la Oficina Federal de Investigaciones ha descubierto repetidamente que el dinero total robado en las estafas BEC supera con creces el hurtado en los ataques de ransomware, aunque los ataques de ransomware pueden ser más visibles y causar más interrupciones y pérdidas asociadas.
En el compromiso del correo electrónico empresarial, los atacantes se infiltran en una cuenta de correo electrónico corporativa legítima y utilizan el acceso para enviar facturas falsas o iniciar pagos de contratos que engañan a las empresas para que transfieran dinero a los delincuentes cuando creen que solo están pagando sus facturas.
“Se está prestando tanta atención al ransomware, y los gobiernos de todo el mundo están tomando medidas para interrumpirlo, por lo que eventualmente el retorno de la inversión se verá afectado”, dice Hassold, quien es director de inteligencia de amenazas en Abnormal Security y un ex analista de comportamiento digital del FBI. “Y los actores de ransomware no van a decir, ‘Oh, oye, me atrapaste’ e irse. Por lo tanto, es posible que tenga esta nueva amenaza en la que los actores más sofisticados detrás de las campañas de ransomware se trasladen al espacio BEC, donde se genera todo el dinero”.
Los ataques BEC, muchos de los cuales se originan en África occidental y específicamente en Nigeria, son históricamente menos técnicos y se basan más en la ingeniería social, el arte de crear una narrativa convincente que engaña a las víctimas para que tomen medidas en contra de sus propios intereses. Pero Hassold señala que gran parte del malware utilizado en los ataques de ransomware está diseñado para ser flexible, con una calidad modular para que los diferentes tipos de estafadores puedan ensamblar la combinación de herramientas de software que necesitan para su jugada específica. Y la capacidad técnica para establecer un “acceso inicial” o un punto de apoyo digital para luego implementar otro malware sería extremadamente útil para BEC, donde obtener acceso a cuentas de correo electrónico estratégicas es el primer paso en la mayoría de las campañas. Los actores de ransomware aportarían un nivel mucho más alto de sofisticación técnica a este aspecto de las estafas.
Hassold también señala que, si bien las pandillas de ransomware más notorias y agresivas suelen ser equipos pequeños, los actores de BEC generalmente se organizan en colectivos mucho más flexibles y descentralizados, lo que dificulta que las fuerzas del orden apunten a una organización central o capo. De manera similar a la falta de voluntad de Rusia para cooperar en las investigaciones de ransomware, las fuerzas del orden público a nivel mundial han tardado en desarrollar relaciones de trabajo con el gobierno de Nigeria para contrarrestar BEC. Pero incluso cuando Nigeria ha puesto más énfasis en la aplicación de medidas contra las BEC, contrarrestar la gran escala de las operaciones de estafa sigue siendo un desafío.
“No se puede simplemente cortar la cabeza de la serpiente”, dice Hassold. “Si arresta a una docena o incluso a unos cientos de estos actores, todavía no está haciendo mucha mella”.
Para los actores de ransomware, el aspecto más difícil de la transición a las estafas BEC probablemente sea la gran diferencia en la recolección del dinero robado. Las pandillas de ransomware recolectan casi exclusivamente los pagos de las víctimas en criptomonedas, mientras que los actores de BEC utilizan principalmente redes locales de mulas de dinero en los mercados donde lanzan sus estafas para lavar moneda fiduciaria. Los actores de ransomware tendrían que conectarse a las redes existentes o invertir en establecer las suyas propias para monetizar las estafas de BEC y tener un lugar para los pagos errantes. Hassold señala, sin embargo, que a medida que las fuerzas del orden público se vuelven cada vez más expertas en rastrear y congelar pagos en criptomonedas, y a medida que el valor de las criptomonedas continúa fluctuando enormemente, los actores de ransomware pueden estar motivados para aprender nuevas técnicas y cambiar de rumbo.
Crucialmente, Hassold señala que si bien él y sus colegas no han visto evidencia de una colaboración activa entre las pandillas de ransomware de Europa del Este y los actores de BEC de África occidental, sí ve evidencia en foros criminales y en un compromiso activo con los atacantes de que los actores de ransomware están interesados en BEC y han estado aprendiendo sobre eso. Queda por ver si esta exploración es simplemente para, ejem, enriquecimiento profesional.
“Todos estos tipos de ataques son muy serios y hay mucho en juego, por lo que me hizo pensar en cómo serán las cosas en el futuro cuando el ransomware eventualmente se interrumpa”, dice Hassold. “Es posible que estas dos amenazas en lados opuestos del espectro del cibercrimen converjan en el futuro, y debemos estar preparados para eso”.
por Lily Hay Newman
Los ataques de ransomware, incluyendo los de la variedad masivamente disruptiva y peligrosa, han resultado difíciles de combatir de manera integral. Los hospitales, las agencias gubernamentales, las escuelas e incluso las empresas de infraestructura crítica continúan enfrentando ataques debilitantes y grandes demandas de rescate por parte de los piratas informáticos. Pero a medida que los gobiernos de todo el mundo y las fuerzas del orden en los Estados Unidos se han tomado en serio la toma de medidas enérgicas contra el ransomware y han comenzado a hacer algunos progresos, los investigadores están tratando de mantenerse un paso por delante de los atacantes y anticipar a dónde pueden dirigirse las pandillas de ransomware si su principal jugada se vuelve poco práctica.
En la conferencia de seguridad RSA en San Francisco el lunes, el investigador de estafas digitales desde hace mucho tiempo Crane Hassold presentará hallazgos que advierten que sería lógico que los actores de ransomware eventualmente conviertan sus operaciones en ataques de compromiso de correo electrónico comercial (BEC) a medida que el ransomware se vuelve menos rentable o lleva un mayor riesgo para los atacantes. En los EE.UU., la Oficina Federal de Investigaciones ha descubierto repetidamente que el dinero total robado en las estafas BEC supera con creces el hurtado en los ataques de ransomware, aunque los ataques de ransomware pueden ser más visibles y causar más interrupciones y pérdidas asociadas.
En el compromiso del correo electrónico empresarial, los atacantes se infiltran en una cuenta de correo electrónico corporativa legítima y utilizan el acceso para enviar facturas falsas o iniciar pagos de contratos que engañan a las empresas para que transfieran dinero a los delincuentes cuando creen que solo están pagando sus facturas.
“Se está prestando tanta atención al ransomware, y los gobiernos de todo el mundo están tomando medidas para interrumpirlo, por lo que eventualmente el retorno de la inversión se verá afectado”, dice Hassold, quien es director de inteligencia de amenazas en Abnormal Security y un ex analista de comportamiento digital del FBI. “Y los actores de ransomware no van a decir, ‘Oh, oye, me atrapaste’ e irse. Por lo tanto, es posible que tenga esta nueva amenaza en la que los actores más sofisticados detrás de las campañas de ransomware se trasladen al espacio BEC, donde se genera todo el dinero”.
Los ataques BEC, muchos de los cuales se originan en África occidental y específicamente en Nigeria, son históricamente menos técnicos y se basan más en la ingeniería social, el arte de crear una narrativa convincente que engaña a las víctimas para que tomen medidas en contra de sus propios intereses. Pero Hassold señala que gran parte del malware utilizado en los ataques de ransomware está diseñado para ser flexible, con una calidad modular para que los diferentes tipos de estafadores puedan ensamblar la combinación de herramientas de software que necesitan para su jugada específica. Y la capacidad técnica para establecer un “acceso inicial” o un punto de apoyo digital para luego implementar otro malware sería extremadamente útil para BEC, donde obtener acceso a cuentas de correo electrónico estratégicas es el primer paso en la mayoría de las campañas. Los actores de ransomware aportarían un nivel mucho más alto de sofisticación técnica a este aspecto de las estafas.
Hassold también señala que, si bien las pandillas de ransomware más notorias y agresivas suelen ser equipos pequeños, los actores de BEC generalmente se organizan en colectivos mucho más flexibles y descentralizados, lo que dificulta que las fuerzas del orden apunten a una organización central o capo. De manera similar a la falta de voluntad de Rusia para cooperar en las investigaciones de ransomware, las fuerzas del orden público a nivel mundial han tardado en desarrollar relaciones de trabajo con el gobierno de Nigeria para contrarrestar BEC. Pero incluso cuando Nigeria ha puesto más énfasis en la aplicación de medidas contra las BEC, contrarrestar la gran escala de las operaciones de estafa sigue siendo un desafío.
“No se puede simplemente cortar la cabeza de la serpiente”, dice Hassold. “Si arresta a una docena o incluso a unos cientos de estos actores, todavía no está haciendo mucha mella”.
Para los actores de ransomware, el aspecto más difícil de la transición a las estafas BEC probablemente sea la gran diferencia en la recolección del dinero robado. Las pandillas de ransomware recolectan casi exclusivamente los pagos de las víctimas en criptomonedas, mientras que los actores de BEC utilizan principalmente redes locales de mulas de dinero en los mercados donde lanzan sus estafas para lavar moneda fiduciaria. Los actores de ransomware tendrían que conectarse a las redes existentes o invertir en establecer las suyas propias para monetizar las estafas de BEC y tener un lugar para los pagos errantes. Hassold señala, sin embargo, que a medida que las fuerzas del orden público se vuelven cada vez más expertas en rastrear y congelar pagos en criptomonedas, y a medida que el valor de las criptomonedas continúa fluctuando enormemente, los actores de ransomware pueden estar motivados para aprender nuevas técnicas y cambiar de rumbo.
Crucialmente, Hassold señala que si bien él y sus colegas no han visto evidencia de una colaboración activa entre las pandillas de ransomware de Europa del Este y los actores de BEC de África occidental, sí ve evidencia en foros criminales y en un compromiso activo con los atacantes de que los actores de ransomware están interesados en BEC y han estado aprendiendo sobre eso. Queda por ver si esta exploración es simplemente para, ejem, enriquecimiento profesional.
“Todos estos tipos de ataques son muy serios y hay mucho en juego, por lo que me hizo pensar en cómo serán las cosas en el futuro cuando el ransomware eventualmente se interrumpa”, dice Hassold. “Es posible que estas dos amenazas en lados opuestos del espectro del cibercrimen converjan en el futuro, y debemos estar preparados para eso”.
Via
Compartir esto: