Delito cibernético: su ecosistema financiero

Delito cibernético

Delito cibernético

El ecosistema financiero del delito cibernético se adapta constantemente para satisfacer las necesidades empresariales innovadoras y emergentes.

Los compradores de productos de delitos cibernéticos están interesados ​​en obtener la mayor cantidad de datos de la manera más fácil y sin fricciones posible, y los actores de amenazas se alegran de ayudar: desde Malware-as-a-Service, hasta suscripciones mensuales e infracciones de datos, están apareciendo nuevos servicios diariamente.

Analizamos una tendencia interesante que se está imponiendo en muchas comunidades: la venta directa y dirigida de datos obtenidos de troyanos bancarios y vendedores de información.

Esto se lleva a cabo directamente por actores de amenazas en comunidades de delitos cibernéticos y en mercados automatizados especializados, y enfatiza una amenaza contra las empresas: actores que monetizan las credenciales corporativas.

Sin embargo, estos mercados robustos y vibrantes también brindan un gran escenario para la recopilación de inteligencia y una oportunidad para que los defensores echen un vistazo directamente a las operaciones de los ciberdelincuentes.

Malware-as-a-Service … Como-a-Service

Los ciberdelincuentes ganan dinero con sus datos personales de inicio de sesión.

Nada nuevo hasta ahora, ¿verdad?

Monetizar las credenciales bancarias comprometidas a través de esquemas de lavado de dinero es el modelo comercial predominante detrás de la industria de troyanos bancarios apropiadamente nombrada. Infecta a una amplia variedad de víctimas, extrae tantas credenciales como puedas y listo, tienes un hervidero de delitos financieros y fraude.

Sin embargo, el proceso puede no ser tan sencillo como parece; Mantener una operación generalizada de botnets bancarias implica mucho trabajo duro.

Esquemáticamente, podemos describir las etapas principales del proceso como tales:

Los últimos dos años han visto una clara tendencia de servitización tanto en la codificación como en la difusión de un malware, principalmente a través de la variedad de proveedores de malware como servicio que operan dentro del ecosistema financiero del delito cibernético; y aunque cada etapa anterior merece una serie completa de artículos, esta entrada en particular se centrará en la última etapa: la monetización .

La monetización es una fase interesante a considerar ya que, a diferencia de las fases anteriores en las que los miembros del grupo se comunican internamente en canales seguros, obliga a diferentes actores y grupos de amenazas a comunicarse entre sí, a menudo utilizando diferentes foros, plataformas de comercio electrónico y mercados en línea. .

Estas comunicaciones brindan oportunidades cruciales de recopilación de inteligencia.

DESCONOCIMIENTOS DESCONOCIDOS
El ecosistema financiero del delito cibernético está en expansión con vendedores de credenciales robadas. Desde mercados ilícitos, pasando por los llamados “talleres automotrices” y los foros tradicionales de delitos informáticos, puede encontrar vendedores ambulantes de datos de inicio de sesión comprometidos en cada rincón del ecosistema financiero del delito cibernético.

La basura de un atacante puede ser el tesoro de otro atacante , y los vendedores ambulantes de credenciales comprometidas están en una carrera constante para comprender cómo separar la basura del tesoro y asignarles el precio correspondiente.

Los actores de la amenaza del proceso de filtrado pasan antes de vender credenciales a la manera de la vieja escuela: identifique los activos que valen mucho dinero y aíslelos, véndalos a un precio adecuado y luego venda todas las demás credenciales a granel.

La pregunta del millón de dólares es:

¿Qué cuenta va al cubo de la basura y cuál es un tesoro potencial?

Los vendedores tienden a apuntar a la “fruta de bajo costo”, el producto que a la mayoría de los actores del fraude les gustaría comprar, ya que son relativamente fáciles de “retirar”, de ahí el enfoque habitual en la banca y el comercio electrónico.

Esto puede crear una situación absurda en la que una máquina comprometida alberga credenciales para, por ejemplo, un servicio gubernamental sensible que puede valer miles de dólares para el comprador correcto, pero los datos reales se ofrecen a la venta por unas pocas docenas de dólares en función del hecho que la máquina también tenía un inicio de sesión disponible para un servicio de banca minorista.

Tomemos como ejemplo el incumplimiento de Target: es seguro asumir que los actores de amenazas motivados por el fraude prestarían más atención a las credenciales bancarias o minoristas fácilmente monetizadas que circulan en los foros, sin tener en cuenta los inicios de sesión de la extranet Target Fazio Mechanics .

Pero como nos enseña la violación, las credenciales esotéricas pueden ser de gran valor para el comprador correcto, al igual que las credenciales comprometidas de Fazio Mechanical presentadas al proporcionar a los atacantes el punto de apoyo inicial en la red de Target.

Estas incógnitas desconocidas , las posibles gemas ocultas en los datos, que pueden no ser obvias para el vendedor pero que pueden valer mucho dinero para el comprador correcto, se están volviendo cada vez más importantes a medida que los mercados crecen y los TTP de cibercrimen y los canales de monetización se adaptan.

Específicamente, notamos un creciente interés de los actores de amenazas que buscan los artículos menos populares, como los que requieren un método de retiro más complejo.

Los actores de la amenaza en una comunidad de ciberdelincuencia rusa cerrada: “trabajando con enlaces estadounidenses (no bancos), necesitan socios que tengan muchos bots vivos o registros recientes de este país”;

El actor de la amenaza está interesado en credenciales específicas que no pertenecen a los bancos, es decir, aquellas que los propios operadores de botnets no hubieran identificado como interesantes.

CAMBIO DE MODELOS DE NEGOCIO

Los actores de la amenaza están cambiando hacia un método de monetización más personalizado para credenciales robadas, basado en un creciente interés de los compradores en credenciales más específicas y esotéricas.

Con un enfoque previo en el método de “frutas bajas” como se describió anteriormente, los actores de amenazas ahora ponen énfasis en proporcionar visibilidad a los compradores en las entrañas de la campaña, permitiendo a sus compradores interactuar con los datos de manera práctica.

Un ejemplo interesante es un actor de amenazas que opera en un foro ruso de primer nivel, que describe los dolores que vienen con el proceso de filtrado:

Directamente de la boca del caballo: un cibercriminal explica el negocio del dolor en el modelo comercial de robo de credenciales

Para acomodar las necesidades de los compradores, el actor de la amenaza omite la fase de procesamiento y en su lugar carga todos los datos comprometidos en un servidor FTP desde el cual los compradores pueden obtener acceso a los conjuntos de datos completos y cosechar las credenciales que les interesan.

Este modelo de negocio funciona como un servicio: los compradores pagan al actor una tarifa de prima mensual y, a cambio, obtienen acceso a un conjunto de datos actualizado mantenido por el actor.

Sin embargo, este servicio puede ser un poco caro para los compradores, llegando a miles de dólares para mantener el acceso anual.

Aquí entran en juego los mercados de pago por bot.

A diferencia del modelo de servicio anterior, estos mercados de botnets, con la infame Genesis Store como pionero y modelo de negocio, permiten a los compradores ver datos básicos que pertenecen a una máquina infectada, sin ver las credenciales completas.

Un comprador puede buscar máquinas que proporcionen las credenciales de interés, pero debe completar el pago completo antes de acceder a las credenciales deseadas.

Este modelo alivia los puntos débiles que sufren los “dueños de negocios” del cibercrimen en términos de incógnitas desconocidas: en lugar de vender credenciales individuales de una lista predeterminada de servicios fácilmente monetizados, pueden hacer alarde de su inventario completo para compradores potenciales.

Credenciales organizativas sensibles que se ofrecen a la venta en dos mercados de bot diferentes

Los medios de seguridad cibernética tienden a referirse a este tipo de mercados como una empresa interesante en cibercrimen, principalmente debido a las capacidades de huellas dactilares .

Sin embargo, nuestra visión de estos mercados como una fuente interesante se basa en la mera visibilidad de cómo se propaga la campaña .

Con la tendencia de las operaciones de botnet a orientarse hacia los recursos corporativos en lugar de hacia los objetivos del consumidor, esta visibilidad de las infecciones reales y vivas puede ser crucial para identificar el acceso de los actores de amenazas a credenciales corporativas sensibles.

EL CASO DE UN DEFENSOR EMPRESARIAL

Los operadores de dichos mercados de botnets están casi dirigidos, y parecen tener un objetivo central: infectar tantas máquinas como sea posible, independientemente del tipo de credenciales que cosechen.

Esto crea un inventario variado para los mercados de botnets: una gran cantidad de máquinas comprometidas de diferentes geografías que albergan credenciales para cualquier cosa, desde servicios bancarios o redes sociales hasta activos sensibles a Internet pertenecientes a agencias gubernamentales.

Esto destaca la naturaleza dual de estos mercados.: una organización puede estar expuesta tanto de sus activos orientados al consumidor como de sus activos exclusivos para empleados.

Para simplificar este concepto, piense en la diferencia de datos que se obtendrían de un atacante que apunte a su máquina personal de uso doméstico frente a su máquina de estación de trabajo comercial; el primero puede proporcionar credenciales de redes sociales y bancarias, mientras que el segundo puede tener credenciales de correo electrónico corporativo, administración de tareas o plataformas sensibles en la nube.

La naturaleza dual del compromiso de la cuenta y los casos de uso.

La superficie de ataque de una organización se compone no solo de la infraestructura de red, sino también de las personas que acceden a ella, ya sean empleados y proveedores que acceden a los activos directamente o consumidores que acceden a los servicios o productos de la empresa.

Cada uno tiene su propio uso para los cibercriminales

A medida que los mercados de botnets ofrecen a sus usuarios interfaces de usuario intuitivas y capacidades de búsqueda avanzadas, también le dan a un posible atacante una ventaja inherente: una mayor visibilidad en el arsenal de credenciales comprometidas.

Por lo tanto, monitorear los activos correctos es crucial para los defensores; el interés de un equipo de fraudes podría estar en las aplicaciones web orientadas al consumidor de la empresa, mientras que el personal de inteligencia de amenazas querría monitorear aplicaciones internas cruciales, acceso de terceros a recursos comerciales o puertas de enlace de red.

En más de un año de monitoreo de este tipo de mercados, se pudo rastrear numerosas credenciales corporativas y transmitirlas para su reparación, incluidas las credenciales para VPN corporativas, entornos de desarrollo, clientes de correo web de empleados y más.

Estos sirven como ejemplos fáciles de comprender sobre cómo se pueden monitorear los modelos de amenaza clásicos en estos mercados.

Mirar los números puede mostrar rápidamente cómo el mercado es un gran tesoro de datos confidenciales para cualquier atacante interesado.

Se analizó los datos de Genesis Store , buscando servicios sensibles que puedan ser utilizados por actores de amenazas para una mayor explotación, rescate o movimiento lateral, y encontró miles de credenciales corporativas sensibles disponibles para su compra.

Número de instancias únicas de servicios corporativos confidenciales que tienen credenciales expuestas en Genesis Store

Estas credenciales confidenciales no se ofrecen directamente como acceso monetizado a los activos corporativos; en cambio, están esperando en un tesoro de datos compuesto por cientos de miles de credenciales.

En los viejos tiempos de vender solo credenciales fácilmente monetizadas en foros, las credenciales en el gráfico probablemente ni siquiera pasarían por la etapa de filtrado y terminarían en el tacho de basura.

Sin embargo, los nuevos modelos de negocios que permiten una mejor utilización de los datos robados hacen que estas credenciales confidenciales estén fácilmente disponibles para cualquier actor con las conexiones correctas.

En estos ámbitos y números, la defensa se convierte en un juego de números : tenga tantos ojos en los lugares correctos y tal vez capte sus credenciales de Jira a medida que se ofrecen para la venta.

UNA LECCIÓN APRENDIDA

La violación de Target nos mostró que: “No se sabe si Fazio Mechanical Services fue el objetivo, o si fue parte de un ataque de phishing más grande del que resultó ser víctima”.

La verdad es que no importa si alguna organización está directamente dirigida o simplemente es presa de una campaña más amplia;

Mientras los actores de amenazas tengan acceso a credenciales comprometidas que pertenecen directamente a su organización, sus empleados o sus terceros, usted puede estar en riesgo.

Aquí es donde entra en juego la inteligencia de amenazas externas: los modelos de negocio en constante cambio y los canales de monetización empleados por los actores de amenazas, como se puede ver en el ecosistema financiero del delito cibernético (léase: “Dark Net”), son increíbles oportunidades de recopilación de inteligencia.

Asomarse a los procesos de monetización de los actores, donde se produce la comunicación entre grupos, permite a las organizaciones detectar cuándo los atacantes hablan de su organización. La perspectiva anterior de apuntar a la “fruta de bajo perfil” ha tomado una nueva forma, con información pasada por alto, o incógnitas desconocidas, demostrando una gran importancia en el ecosistema financiero del delito cibernético.. Hoy en día, cualquier información pequeña puede ser de gran importancia para los diferentes miembros de las comunidades del ecosistema financiero del delito cibernético.

Si bien no hay una bala de plata o una ventanilla única para la seguridad cibernética, la implementación de las herramientas de inteligencia adecuadas puede darle una idea de lo que los atacantes están discutiendo, con el objetivo de prevenir un ataque antes de que ocurra.

 

Por Marcelo Lozano – General Publisher IT Connect Latam