Iluminar la Dark Web para descubrir el Crimeware como un Servicio.
*Por Aditya K Sood, director de seguridad y del laboratorio de amenazas a la nube en Blue Coat Systems (parte de Symantec)
Centro América & Caribe, 8 de noviembre de 2016.- Es probable que haya oído hablar de los grandes propietarios de negocios, como Jeff Bezos, Larry Page y Warren Buffet. Sin embargo, ¿Sabía usted que hay una larga lista de propietarios de negocios, que tienen millones de dólares a su alcance, pero de los que nunca oyó u oirá hablar? Estas personas nunca estarán en un artículo ni publicarán una biografía.
¿Quiénes son estas personas? Deja que te presente a los propietarios de negocios Crimeware como un Servicio o CaaS (por sus siglas en inglés, crimeware-as-a-service). Para los cibercriminales subterráneos, CaaS ofrece una nueva dimensión de la delincuencia informática, ya que está más organizado, automatizado y accesible para los criminales con conocimientos técnicos limitados. Hoy en día, los cibercriminales pueden desarrollar, promocionar y vender cualquier cosa, desde una red de bots a un navegador Exploit Pack o DDoS kits de herramientas de ataque. En resumen, los ciberdelincuentes pueden obtener datos confidenciales, como números de tarjetas de crédito, nombres y direcciones, con sólo un par de clics y un pago.
De todas formas, el mercado CaaS no se define por un par de pequeños actores maliciosos, sino que es una red compleja y con una variada gama de organizaciones, todas enterradas dentro de Internet. Estas organizaciones se encuentran fuera del alcance de los índices de búsqueda y puntos de acceso frecuentes, haciéndolos invisibles para un usuario Web común. Ahora, mi propósito en decirle esto no es para asustarlo, crear pánico o incertidumbre, sino que es educar y dar noción acerca del crecimiento de estas actividades ilegales que se expanden cada día. Según APWG, este tipo de manejos han crecido un 250% en 2016, aunque el phishing es sólo un ejemplo de cómo el crimeware ha alcanzado un tamaño sin precedentes durante este año.
Un mercado maduro
Hace diez años, CaaS estaba todavía en las primeras etapas. Como se evidencia en “Una breve historia de la piratería” (A Brief History of Hacking), los actores maliciosos tenían las herramientas y la tecnología que necesitaban para causar graves problemas, pero su atención se centraba más en el poder que en el rédito económico. En ese momento, los principales cortes eran para demostrar que los hackers podían entrar en los sistemas al aprovechar distintas vulnerabilidades. Pero cuando los hackers comenzaron a pensar más en el dinero que en la fuerza del hacker, las cosas cambiaron. Mientras más ataques DDoS a gran escala, como el reciente hackeo al sitio web del periodista estadounidense Brian Krebs, auguran que será más probable que veamos a la venta de paquetes explotadores de navegador, malware y spyware, ya que son los más rentables.
Se necesitarían miles de páginas para relatar cada tipo de crimeware a la venta, pero aquí están algunos de los productos más vendidos en 2016:
· Las redes de bots o botnets de control: Un botnet es una red de computadoras que están infectados con un software malicioso que permite a los ciber delincuentes controlar los ordenadores sin el conocimiento de los usuarios. Empresarios subterráneos venden el acceso a estos ordenadores ya infectados que controlan, a menudo en grandes cantidades, por precios que van desde U$D 100 por mes (para alquilar la infraestructura) a U$D 7.000 para comprar un sistema completo.
· Paquetes explotadores de navegador (BPE, por sus siglas en inglés): Junto con un Botnet, los BPEs permiten a los compradores compartir ransomwares o softwares espías a gran escala. Al igual que cualquier sofisticada pieza de malware, BEP tienen módulos integrados para la ofuscación, listas negras, administración y optimización del tráfico. Para un paquete completo BEP, los vendedores pueden pedir de U$SD 3.000-7.000.
· Phishing Toolkits personalizados con Exploits armados: Para los hackers que desean dirigirse a un grupo específico, o sólo a usuarios inesperados, pueden pagar por un agente malicioso para establecer un protocolo de transferencia de correo simple (SMTP), página Web estafa o proporcionar listas de correo de alta calidad. Cada una de estas opciones puede costar entre U$D 15-40. Otra oferta popular que combina bien con un conjunto de herramientas de ataque de phishing son los "documentos armados". Estos archivos maliciosos se ven como un regular documentos de Microsoft Office (Word, XLS, PPT, etc.), aprovechando las vulnerabilidades inherentes en el paquete MS Office para descargar malware en el sistema del usuario final. El malware descargado puede ser ransomware, kit de herramientas de acceso remoto (RAT), etc., dependiendo de la elección y la exigencia del vendedor de crimeware. Hoy en día, Office exploits (PPT, WORD, XLS), CVE conocidos o Nth Day pueden costar entre U$D 2.000-5.000.
· Ransomware: Es una forma popular para que los piratas informáticos ganen dinero, ya que el software de ransomware llevará a cabo los objetivos del ordenador rehén hasta que paguen. Este software puede ser desarrollado en diversos grados de complejidad y como resultado se pueden ejecutar los costos de distribución. Por ejemplo, el precio de un archivo ejecutable Crypto Locker personalizable es de alrededor de U$D 50, según una investigación realizada por TrendMicro, aunque los operadores ransomware tienden a aceptar una reducción del 10% de los beneficios obtenidos de los objetivos.
Los precios y las ofertas pueden variar, sobre todo cuando se ofrecen servicios personalizados y/o específicos. Por ejemplo, si un empleado descontento quiere apuntar contra una organización específica o un grupo de usuarios, él/ella podría comprar un ataque DDoS o un Paquete Explotador de Navegador que un vendedor le ayudará a ejecutar. Esto traería un costo adicional, con un estimado entre U$D 4000-7.000 para un BEP. Es fácil imaginar cómo estas empresas pueden obtener un gran beneficio con sólo unas pocas transacciones.
Dinero, dinero, dinero
Es difícil saber exactamente cuánto es el beneficio neto de este sistema subterráneo de negocios. Aunque mirando el mercado subterráneo de e-currency (dinero digital), está claro que la tendencia es hacia miles de millones de dólares. Todos los negocios subterráneos utilizan e-currency como un medio de intercambio, ya que es internacional, anónimo, irreversible, no regulada, conveniente para el lavado de dinero. En este sentido, las e-currency son internacionales ya que se almacenan en los bancos virtuales en todo el mundo y se pueden convertir en varias monedas nacionales.
Nuestro conocimiento de estos bancos proviene de las pocas organizaciones que han sido descubiertas y clausuradas. Por ejemplo, recordarán el cierre de Liberty Reserve en 2013. El sitio Web LibertyReserve.com fue capturado por el gobierno de los Estados Unidos y etiquetado como "un centro financiero del delito cibernético." A partir de 2006 y hasta que fue cerrada en 2013, este banco virtual hizo transacciones por seis mil millones de dólares.
Otra fuente de información sobre los beneficios del crimeware es el FBI. La Oficina Federal de Investigación ha sido parte integral en el cierre de organizaciones de ciberdelincuentes y han dejado detallados informes sobre las operaciones, como la “Operación borrón y cuenta nueva”. Debido a sus esfuerzos, hemos sido capaces de aprender más acerca de la cantidad de dinero que estas organizaciones han ganado. Por ejemplo, Zeus, que es un malware notorio que capturó contraseñas, números y demás información necesaria para acceder a cuentas bancarias en línea. Se cree que a través de Zeus sus propietarios han robado millones de dólares a los titulares de las cuentas profanadas.
¿Por qué el CaaS está creciendo?
CaaS ha florecido junto con el crecimiento de malware y otros softwares de Crimeware. Aparte de los factores tecnológicos que ayudan a crecer a la actividad cibernética maliciosa, las economías de mercado simple están apoyando a la industria.
La oferta y la demanda juegan un papel importante al bosquejar los precios del crimeware. De esta manera, el costo de los diferentes servicios de crimeware se ha incrementado recientemente debido a que varios de estos criminales fueron atrapados durante las operaciones de lucha contra la ciberdelincuencia, afectando el suministro de estos servicios. Si un proveedor de BEP se cae, el proveedor de otra BEP eleva los costos, y así aumenta los beneficios. El incremento en el precio anima a otros proveedores para entrar en el mercado, ya que observan un valor financiero claro, a menudo sobrepasando el riesgo.
Aunque el FBI se abre camino desmontando mercados subterráneos como Darkcode, los criminales cibernéticos se han vuelto mucho más proactivos en la realización de transacciones de Crimeware como un Servicio. Canales de IRC y Jabber se están convirtiendo en los medios más populares de comunicación en Internet por sobre los foros. De esta manera, el seguimiento de los compradores y vendedores resulta más dificultoso.
Además, la amplia publicidad ya no se expone como antes, cuando los proveedores (o creadores) ponían anuncios explícitos de una manera distribuida. La publicidad del Crimeware como un Servicio se ha vuelto mucho más específica en su naturaleza, con foros dedicados y restringidos a lo que ellos anuncian. Esto ayuda a perpetuar CaaS en grupos subterráneos y a compradores y vendedores a ocultarse de las autoridades.
¿Podemos frenarlo?
La detención de delincuentes informáticos es una prioridad para las organizaciones como el FBI y de los cuerpos de seguridad de todo el mundo. Ya ha habido varios esfuerzos para combatir el delito cibernético, pero ninguno hasta la fecha ha tenido un impacto monumental en la industria de servicios de Crimeware. Para que se produzca un cambio significativo, deben llevarse a cabo varios esfuerzos en paralelo a la lucha contra la delincuencia informática y el mercado del CaaS.
Para empezar, las soluciones de seguridad o mecanismos que se están diseñando hoy deben permanecer a la altura de los nuevos métodos de ataque utilizados por los delincuentes cibernéticos en el Caas. Se requieren soluciones de detección y prevención robustas para localizar la producción de los servicios de software de actividades ilegales tales como infecciones, abuso de los servicios, filtración de datos y otros para que las operaciones no autorizadas pueden detenidas por adelantado sin alcanzar pérdidas económicas significativas. Entonces, en conjunto con el buen trabajo que el FBI está haciendo para fortalecer la aplicación de la ley contra los autores del delito, todo el mundo necesita ser instruido sobre las nuevas tendencias del cibercrimen, para poner de relieve la eficacia de los hábitos de navegación segura que puede reducir la exposición de los usuarios a los ataques cibernéticos.
Al final del día, el mercado del CaaS es innovador, pero nosotros también. Nuestra mejor esperanza es continuar iluminando la Web oscura y que se sepa que el CaaS existe.