Triple extorsión y Malware Infostealer: El auge del RaaS en la Dark Web.
La Dark Web, conocida tradicionalmente por su asociación con drogas, delitos y filtraciones de credenciales, ha experimentado una evolución durante los últimos años. Un ecosistema complejo e interdependiente de ciberdelincuencia ha surgido a través de canales ilícitos en Telegram y la red Tor. Uno de los mayores desafíos que enfrentan las organizaciones en la actualidad es el auge del Ransomware y sus tácticas cada vez más sofisticadas.
La Mercantilización del Ransomware y el Auge de RaaS
Durante más de una década, el Ransomware ha sido una amenaza latente para las empresas, pero en los últimos tiempos, una tendencia preocupante ha surgido: la mercantilización del delito cibernético a través de “afiliados”. Los grupos de Ransomware están configurando infraestructuras sólidas y subcontratando a «afiliados» que operan como contratistas de Ransomware as a Service (RaaS). Estos afiliados se encargan de la fase de infección y, en algunos casos, de la fase de negociación; compartiendo las ganancias al final de un ataque exitoso. Esta división de roles ha permitido una especialización funcional que resulta en más infecciones, más víctimas y la demanda de pagos exorbitantes .
Fuente: BleepingComputer.
Tácticas de Extorsión del Ransomware: Más Allá del Cifrado
Los grupos de Ransomware están evolucionando sus tácticas de extorsión, lo que hace que sus ataques sean más peligrosos y difíciles de combatir. Un grupo que simplemente cifra los datos de una empresa se está volviendo una rareza. Ahora, algunos grupos optan por renunciar al cifrado por completo y en su lugar se enfocan en la exfiltración de datos confidenciales y el chantaje de empleados.
Tipos de Extorsión de Ransomware
Extorsión Simple: Este es el ataque clásico de Ransomware en el que un grupo cifra los datos de la empresa y exige un rescate para su liberación.
Fuente: BleepingComputer.
Doble Extorsión: Los grupos de Ransomware cifran los datos de la empresa pero, antes de solicitar el pago, filtran los datos y amenazan con publicarlos en blogs de Ransomware en una fecha determinada si no se paga el rescate.
Fuente: BleepingComputer.
Triple Extorsión: En este caso, el grupo va más allá del cifrado y la filtración de datos. También apunta a empleados específicos, realizan ataques DDoS a la empresa o notifican a socios para aumentar la presión sobre la víctima y asegurar el pago.
El Papel del Infostealer Malware en la Triple Extorsión
El aumento del Ransomware de triple extorsión va de la mano con la proliferación del malware de robo de información, conocido como Infostealer. Variantes como Vidar, Redline y Raccoon infectan computadoras y recopilan huellas digitales del navegador, datos de host y, lo más alarmante, todas las credenciales almacenadas en el navegador. Esto proporciona a los ciberdelincuentes una ventaja adicional en sus ataques de extorsión.
Fuente: Medium.
El Rol de los «Afiliados» de Ransomware y los Agentes de Acceso Inicial
Los afiliados de Ransomware pueden adquirir fácilmente malware a través de foros especializados y buscar acceso inicial mediante registros de dispositivos infectados disponibles en canales públicos de Telegram o en sitios web dedicados a la venta de datos ilícitos. Un registro individual puede contener credenciales para: VPN y aplicaciones empresariales, bancos en línea y correos electrónicos.
Fuente: BleepingComputer.
Además, los grupos de Ransomware para realizar ataques de triple acción utilizan los registros obtenidos de Infostealer. Su modo de operación consiste en usar registros para el acceso inicial a los entornos de TI corporativos e identificar registros (previamente enumerados de un ataque exitoso relacionado con empleados específicos) y a través de ellos presionar a la organización.
Otro punto a destacar es el aumento al acceso inicial a las empresas a través los “intermediarios de accesos inicial”, quienes operan en la Dark Web y ofrecen el acceso a las organizaciones a través de la venta por subastas.
Fuente: Kelarcyber.
La complejidad del entorno del cibercrimen permite que actores de amenazas, incluso los menos sofisticados, realicen ataques cada vez más complicados contra entornos corporativos. El Ransomware ha demostrado ser una amenaza persistente y puede ir desde lo más tradicional a lo más complejo. Por ejemplo, pueden obtener información sensible a través de phishing o explotaciones de vulnerabilidades; pero también el ataque puede venir de desarrolladores que filtran credenciales en repositorios públicos como GitHub.
Conclusiones
El panorama del Ransomware ha evolucionado, y las tácticas empleadas por los grupos de ciberdelincuentes se han vuelto más sofisticadas y peligrosas. Las empresas deben estar más atentas, ya que en el “2022 se identificó la filtración de datos de 2 mil 947 empresas en blogs de Ransomware y, sin duda, muchas empresas más fueron víctimas y pagaron el rescate para evitar la divulgación de datos”, de acuerdo con información de BleepingComputer.
La conciencia sobre el Infostealer malware y la mercantilización del Ransomware es fundamental para mejorar la seguridad y mitigar los riesgos asociados a esta creciente amenaza. Además, es esencial contar con estrategias sólidas de protección y respuesta ante el Ransomware para evitar posibles consecuencias devastadoras para las organizaciones.
Contacta con Global Cybersec para confirmar qué tan vulnerable es tu empresa o negocio, no dejes que los hackers maliciosos divulguen e infecten a tu organización.
Referencias:
https://flare.io/learn/resources/video-triple-extortion-ransomware-dark-web-file-dumps/
https://atrhein.medium.com/infostealer-malware-how-to-avoid-them-b3bb7c4d9562
