¿Cómo los delincuentes electrónicos monetizan el ransomware?

Por. Bart Lenaerts-Bergmans


Los detalles de las transacciones y los patrones de monetización de los delitos electrónicos modernos revelan información crítica para las organizaciones que se defienden de los ataques de ransomware .


El ciberdelito ha evolucionado en los últimos años desde simples ataques de "rociar y rezar" hasta un ecosistema criminal sofisticado centrado en técnicas de monetización altamente efectivas que permiten a los adversarios maximizar el éxito y la rentabilidad.

La monetización es el paso que dan los atacantes para recibir un pago cuando se completa una operación. Los actores de amenazas evolucionan constantemente sus métodos a través de prueba y error para evitar ser atrapados. Una mayor comprensión de cómo funciona este proceso, incluidos los detalles de la transacción, el valor de los compromisos recientes y los adversarios participantes, puede ayudar a las organizaciones a combatir a los actores de amenazas modernos.


La inteligencia de amenazas de CrowdStrike ofrece a los tomadores de decisiones de TI y seguridad información sobre la monetización de eCrime a través de nuestros informes de inteligencia de eCrime Index. Aquí, profundizamos en nuestras observaciones recientes y compartimos conclusiones clave para los defensores.


La criptomoneda es el rey

Bitcoin es la criptomoneda preferida en las campañas de ransomware por varias razones; es decir, es más fácil de obtener y ampliamente disponible. Las billeteras de Bitcoin no requieren información de identificación personal, por lo que exigir un rescate en Bitcoin facilita que las víctimas paguen y permite que los adversarios permanezcan en el anonimato.


Sin embargo, no todos los detalles de Bitcoin están ocultos. El valor de cada transacción y monedero de Bitcoin se puede ver públicamente, lo que permite a los atacantes y a las fuerzas del orden seguir los pagos hasta sus destinos finales. Y aunque la identidad del titular de la billetera está oculta, Bitcoin se puede cambiar por moneda fiduciaria en cualquier cantidad de intercambios de criptomonedas, donde la identidad del adversario puede quedar expuesta.


Para aumentar el anonimato, los atacantes a menudo usan "servicios mixtos", que redistribuyen Bitcoin de varias fuentes a diferentes direcciones para ocultar la fuente original de los fondos y dificultar el análisis de la transacción. Otro método utilizado para garantizar el anonimato y evitar el rastreo de fondos es "saltar cadenas", en el que los ciberdelincuentes convierten la moneda a otro formato, como Monero (XMR), una forma de criptomoneda que muchos atacantes prefieren por su anonimato.


Las demandas de rescate varían, mucho

El valor de la actividad sospechosa informada en los Informes de actividades sospechosas relacionadas con el ransomware durante los primeros seis meses de 2021 fue de $ 590 millones de dólares, en comparación con los $ 416 millones informados en todo 2020, según datos de la Red de Ejecución de Delitos Financieros (FinCen) del Departamento del Tesoro de EE. UU. . Los expertos de CrowdStrike también vieron un aumento: nuestro equipo de inteligencia calculó una demanda de rescate promedio de $ 6.1 millones de dólares en 2021, un aumento del 36% desde 2020.


Los corredores de acceso hacen sus propias listas de precios


Los corredores de acceso violan la infraestructura de las víctimas y luego venden credenciales obtenidas ilícitamente u otros métodos de acceso en comunidades clandestinas. Los operadores o afiliados de malware compran información de acceso para no tener que entrar ellos mismos, lo que genera ataques más rápidos y mejor dirigidos.

El costo de este acceso varía. El equipo de inteligencia de CrowdStrike ha visto precios que oscilan entre $100 y $64 000 USD (el más alto identificado hasta la fecha). Los factores que determinan el costo pueden incluir el nivel de privilegio otorgado, los ingresos anuales estimados de la empresa objetivo, la cantidad de puntos finales, la cantidad potencial de datos disponibles para la exfiltración y la reputación del corredor.


Los atacantes no pagados pueden subastar sus datos

Si la víctima del ransomware se niega a cumplir con las demandas de los adversarios, sus datos extraídos pueden subastarse en la web oscura o en un sitio de fugas dedicado. Esta táctica le permite al actor de amenazas ganar dinero si su primer intento de monetizar no tiene éxito, o aumentar sus ganancias incluso si la víctima paga. A veces, los datos se venden a otros adversarios, quienes pueden usarlos para encontrar nuevas víctimas u obtener información de identificación personal para cometer fraude o planificar ataques.


El ecosistema que respalda el crimen electrónico continúa prosperando

El ransomware puede ser la fuente de ingresos más popular para los ciberdelincuentes; sin embargo, muchos todavía dependen de otras formas de hacer dinero. CrowdStrike Intelligence encontró múltiples métodos tradicionales que los atacantes aún usan para generar fondos. Los actores ofrecen varios servicios para apoyar la economía clandestina más amplia, incluidos los robots de spam, los servicios de monetización, el pago por instalación y los kits de explotación.


Un ejemplo de esto es EcoPanel, un panel web personalizable que permite a los usuarios administrar los diversos pasos del fraude de reenvío como una forma de monetizar el crimen electrónico. Como parte de este proceso, los atacantes usan datos robados para comprar bienes de alto valor y enviarlos a intermediarios en EE. UU. o Europa. Estas “mulas” los reenvían a los actores de eCrime, quienes venden los productos en los mercados locales a cambio de fondos.


Comida para llevar para los defensores

Aprender cómo los ciberdelincuentes monetizan las campañas de ransomware es un paso importante para defenderse de ellos. A continuación se presentan tres lecciones clave que los equipos de seguridad y TI pueden aprender:


Lección 1: Tus datos te ayudarán a definir tu estrategia . Los adversarios buscan sus datos corporativos confidenciales, y si los obtienen, su organización puede estar expuesta a la extorsión y otras amenazas en el futuro. Debe determinar el valor de sus datos y dónde residen para crear una estrategia de seguridad de varias capas que priorice los datos como su activo más valioso y los proteja mediante una gestión de identidad adecuada y los principios de Zero Trust. La capacidad de crear una defensa en capas y planificar contingencias en torno a posibles fallas de sus componentes es esencial para proteger los datos confidenciales.


Lección 2 : La inteligencia de amenazas es esencial para rastrear la monetización de eCrime . El proceso de monitoreo continuo requiere inteligencia de amenazas procesable para comprender quién podría estar atacando sus datos, cómo podrían atacarlos y el valor de sus datos dentro del ecosistema del ciberdelito, para que pueda determinar cómo invertir mejor en soluciones de monitoreo.


Lección 3 : El índice CrowdStrike eCrime (ECX) ayuda a rastrear la monetización de eCrime . El ECX se basa en una variedad de datos de delitos cibernéticos, como víctimas de ransomware, fugas de datos de caza mayor, actividades de ataque y tasas de criptomonedas, todo ponderado por impacto. El ECX es útil para comprender mejor las tendencias más amplias del ecosistema de delitos electrónicos, y estas pueden ser un factor para determinar la actividad de las amenazas.


El modelo de negocio del ciberdelito está en constante evolución para dar cabida a nuevas tácticas de eCrime. Aprender sobre estas técnicas puede ayudar a los equipos de TI y seguridad a comprender mejor a sus adversarios y, al hacerlo, fortalecer sus defensas.




6 visualizaciones0 comentarios