Delitos cibercriminales analizados en CibercrimeCon 21

Delitos cibercriminales: Group-IB entrega informe 2021

Group-IB lucha contra los delitos cibercriminales
Group-IB lucha contra los delitos cibercriminales

Agentes de ransomware, tarjetas de crédito y acceso inicial: Group-IB presenta un informe sobre los delitos cibercriminales

Group-IB, uno de los líderes mundiales en ciberseguridad, ha presentado su investigación sobre ciberamenazas globales en el informe Hi-Tech Crime Trends 2021/2022 en su conferencia anual de inteligencia y caza de amenazas, CyberCrimeCon’21.

En el informe, que explora los desarrollos de la ciberdelincuencia en el segundo semestre de 2020 hasta el primer semestre de 2021, los investigadores del Grupo IB analizan la creciente complejidad del panorama global de amenazas y destacan el papel cada vez mayor de las alianzas entre los actores de las amenazas.

La tendencia se manifiesta en asociaciones entre operadores de ransomware y corredores de acceso inicial bajo el modelo Ransomware-as-a-Service.

Los estafadores también se unen en clanes para automatizar y agilizar las operaciones fraudulentas.

Por el contrario, los delitos informáticos individuales, como las tarjetas, están en declive por primera vez en mucho tiempo.

Por décimo año consecutivo, el informe Hi-Tech Crime Trends analiza los diversos aspectos de las operaciones de la industria del ciberdelincuente, examina los ataques y proporciona pronósticos para el panorama de amenazas para varios sectores. Por primera vez, el informe se dividió en cinco volúmenes principales, todos con un enfoque diferente: ransomware, venta de acceso a redes corporativas, guerra cibernética, amenazas al sector financiero y phishing y estafas. Las previsiones y recomendaciones descritas en Hi-Tech Crime Trends 2020-2021 buscan prevenir daños y tiempos de inactividad para las empresas de todo el mundo.

Corredores de acceso inicial: empresas estadounidenses entre los objetivos más frecuentes

Una de las tendencias subyacentes en el ámbito del delito cibernético es un fuerte aumento en el número de ofertas para vender acceso a redes corporativas comprometidas. Impulsado por el infame hacker Fxmsp, que fue acusado por el Departamento de Justicia de EE. UU. En 2020, el mercado de acceso inicial corporativo creció casi un 16% en el segundo semestre de 2020 a primer semestre de 2021, de $ 6,189,388 a $ 7,165,387. El número de ofertas para vender acceso a empresas casi se triplicó durante el período de revisión: de 362 a 1.099. Estos datos exclusivos fueron obtenidos por el sistema de Atribución e Inteligencia de Amenazas de Group-IB, que recopila incluso información eliminada de foros clandestinos de ciberdelincuentes.

Delitos cibercriminales

Este segmento de la clandestinidad ciberdelincuente tiene una barrera de entrada relativamente baja.

La mala gestión del riesgo cibernético corporativo, combinada con el hecho de que las herramientas para realizar ataques contra las redes corporativas están ampliamente disponibles, contribuyeron a un aumento sin precedentes en el número de agentes de acceso inicial.

En el segundo semestre de 2019 hasta el primer semestre de 2020, el equipo de inteligencia sobre amenazas de Group-IB detectó solo 86 corredores activos.

Sin embargo, en el segundo semestre de 2020 a primer semestre de 2021, este número se disparó a 262, con 229 nuevos jugadores que se unieron a la lista.

La mayoría de las empresas afectadas pertenecían a la industria manufacturera (9% del total de empresas), educación (9%), servicios financieros (9%), salud (7%) y comercio (7%). En el período de revisión, el número de industrias explotadas por los intermediarios de acceso inicial aumentó de 20 a 35, lo que indica que los ciberdelincuentes se están dando cuenta de la variedad de víctimas potenciales.

Agentes de acceso inicial por industria

La geografía de las operaciones de los corredores de acceso inicial también se ha expandido. En el segundo semestre de 2020 a primer semestre de 2021, el número de países donde los ciberdelincuentes irrumpieron en las redes corporativas aumentó de 42 a 68.

Las empresas con sede en EE. UU.

Son las más populares entre los vendedores de acceso a redes comprometidas; representan el 30% de todas las empresas víctimas en H2 2020 – H1 2021, seguido de Francia (5%) y el Reino Unido (4%).

Corredores de acceso inicial por país

Solo en Europa, el costo total de todos los accesos a las empresas de la región que se ofrecen a la venta en el subterráneo ascendió a $ 590.095 en el período de revisión, lo que representa una disminución de casi un 22% interanual.

En el período de revisión, los corredores de acceso inicial ofrecieron acceso a 261 empresas europeas, lo que representa un aumento de 3 veces en comparación con el segundo semestre de 2019 y el primer semestre de 2020 (76 empresas).

Las empresas francesas fueron las más populares entre los vendedores de acceso a redes comprometidas: representaron el 20% de todas las empresas víctimas en el segundo semestre de 2020 – primer semestre de 2021 en Europa, seguidas por el Reino Unido (18%), Italia (13%), España ( 10%), Alemania (9%) y Holanda (5%).

Initial Access Brokers Europe

Una de las principales fuerzas impulsoras del crecimiento del mercado de acceso inicial es el fuerte aumento en el número de ataques de ransomware. Los agentes de acceso inicial eliminan la necesidad de que los operadores de ransomware entren en las redes corporativas por su cuenta.

La alianza impía de los agentes de acceso inicial y los operadores de ransomware como parte de los programas de afiliados de Ransomware-as-as-a-Service (RaaS) ha llevado al surgimiento del imperio del ransomware. En total, los datos relacionados con 2.371 empresas se publicaron en DLS (sitios de fuga de datos) durante el segundo semestre de 2020 hasta el primer semestre de 2021. Este es un aumento sin precedentes del 935% en comparación con el período de revisión anterior, cuando se hicieron públicos los datos relacionados con 229 víctimas.

Gracias al sistema Threat Intelligence & Attribution, Group-IB research los suyos pudieron rastrear cómo ha evolucionado el imperio del ransomware desde que apareció. El equipo de Group-IB analizó programas de afiliados privados de ransomware, DLS donde publican datos exfiltrados pertenecientes a víctimas que se negaron a pagar el rescate y las cepas de ransomware más agresivas.

IT CONNECT LATAM

Información de valor para ejecutivos que toman decisiones de negocios

Durante el período de revisión, los analistas de Group-IB identificaron 21 nuevos programas de afiliados de Ransomware-as-a-Service (RaaS), lo que representa un aumento del 19% en comparación con el período anterior.

Durante el período de revisión, los ciberdelincuentes dominaron el uso de DLS, que se utilizan como una fuente adicional de presión sobre sus víctimas para hacerles pagar el rescate amenazando con filtrar sus datos. En la práctica, sin embargo, las víctimas aún pueden encontrar sus datos en el DLS incluso si se paga el rescate. El número de nuevos DLS se duplicó con creces durante el período de revisión y llegó a 28, en comparación con 13 en el segundo semestre de 2019 y el primer semestre de 2020.

Cabe señalar que en los primeros tres trimestres de 2021, los operadores de ransomware publicaron un 47% más de datos sobre empresas atacadas que en todo 2020. Teniendo en cuenta que los ciberdelincuentes publican datos relacionados con solo alrededor del 10% de sus víctimas, el número real es probable que las víctimas de ataques de ransomware sean docenas más.

La proporción de empresas que pagan el rescate se estima en un 30%.

Tras analizar los DLS de ransomware en 2021, los analistas de Group-IB concluyeron que Conti era el grupo de ransomware más agresivo: reveló información sobre 361 víctimas (16,5% de todas las empresas víctimas cuyos datos se publicaron en DLS), seguido de Lockbit (251). Avaddon (164), REvil (155) y Pysa (118). El top 5 del año pasado fue el siguiente: Maze (259), Egregor (204), Conti (173), REvil (141) y Pysa (123).

Por país, la mayoría de las empresas cuyos datos fueron publicados en DLS por operadores de ransomware en 2021 tenían su sede en los Estados Unidos (968), Canadá (110) y Francia (103), mientras que la mayoría de las organizaciones afectadas pertenecían a la industria manufacturera (9,6%). , inmobiliario (9,5%) y transporte (8,2%).

Carding: La última risa del Joker

Durante el período de revisión, el mercado de tarjetas cayó un 26%, de $ 1.9 mil millones a $ 1.4 mil millones en comparación con el período anterior. La disminución puede explicarse por el menor número de volcados (datos almacenados en la banda magnética de las tarjetas bancarias) puestos a la venta: el número de ofertas se redujo en un 17%, de 70 millones de registros a 58 millones, debido a la infame tienda de tarjetas Joker’s. Stash cerrándose. Mientras tanto, el precio promedio de un volcado de tarjetas bancarias cayó de $ 21,88 a $ 13,84, mientras que el precio máximo aumentó de $ 500 a $ 750.

Se registró una tendencia opuesta en el mercado para la venta de datos de texto de tarjetas bancarias (números de tarjetas bancarias, fechas de vencimiento, nombres de propietarios, direcciones, CVV): su número se disparó un 36%, de 28 millones de registros a 38 millones, que entre otros pueden explicarse por el mayor número de recursos web de phishing que imitan a marcas famosas durante la pandemia. El precio promedio de los datos de texto subió de $ 12.78 a $ 15.2, mientras que el precio máximo se disparó 7 veces: de $ 150 a $ 1,000 sin precedentes.

La Scamdemic

Otra cohorte de ciberdelincuentes que forjaron asociaciones activamente durante el período de revisión fueron los estafadores. En los últimos años, los programas de afiliados de phishing y estafa se han vuelto muy populares. La investigación realizada por Group-IB reveló que hay más de 70 programas de afiliados de phishing y estafas. Los participantes tienen como objetivo robar dinero, así como datos personales y de pago. En el período del informe, los actores de amenazas que participaron en tales esquemas se embolsaron al menos $ 10 millones en total. La cantidad promedio robada por un miembro del programa de afiliados fraudulentos se estima en $ 83.

Los programas de afiliados involucran a un gran número de participantes, tienen una jerarquía estricta y utilizan infraestructuras técnicas complejas para automatizar actividades fraudulentas. Los programas de afiliados de phishing y estafa utilizan activamente bots de Telegram que brindan a los participantes páginas de estafa y phishing listas para usar. Esto ayuda a escalar las campañas de phishing y adaptarlas a los bancos, los servicios de correo electrónico populares y otras organizaciones.

Los programas de afiliados de phishing y estafas, inicialmente centrados en Rusia y otros países de la CEI, comenzaron recientemente su migración en línea a Europa, América, Asia y Oriente Medio. Classiscam ejemplifica esto: una estafa automatizada como servicio diseñado para robar dinero y datos de pago. Group-IB tiene conocimiento de al menos 71 marcas de 36 países suplantadas por miembros del programa de afiliados. Los sitios web de phishing y estafas creados por miembros del programa de afiliados suelen imitar mercados (69,5%), servicios de entrega (17,2%) y servicios de viajes compartidos (12,8%).

 

 

Por Marcelo Lozano – General Publisher IT Connect Latam

 

Delitos cibercriminales, Delitos cibercriminales, Delitos cibercriminales, Delitos cibercriminales, Delitos cibercriminales, 

Delitos cibercriminales, Delitos cibercriminales, Delitos cibercriminales, 

Delitos cibercriminales, Delitos cibercriminales, Delitos cibercriminales, Delitos cibercriminales, Delitos cibercriminales, 

Delitos cibercriminales, Delitos cibercriminales, Delitos cibercriminales, Delitos cibercriminales, Delitos cibercriminales, Delitos cibercriminales, 

96 / 100