Cibercriminales imitan estrategias empresariales para incrementar sus ganancias

El ransomware ha sido una industria enormemente rentable para las bandas criminales durante los últimos años. En 2023, los pagos por parte de empresas a los atacantes superaron los 1,100 millones de dólares, casi el doble que en 2022 y esto ha motivado y permitido que los grupos que se benefician de esta actividad se vuelvan más profesionales.

Estos grupos delictivos están replicando el modelo de funcionamiento de los ecosistemas tecnológicos y emprendedores legítimos con el fin de maximizar sus eficiencias y ganancias. Para lograrlo, se valen de la contratación y empleo de trabajadores independientes a través de lo que se ha denominado como economía de trabajo de los operadores de ransomware. El incremento en la demanda de tales servicios ha propiciado la aparición de proveedores de servicios criminales que buscan satisfacer estas necesidades emergentes. En un ciclo que podría ser interpretado como virtuoso pero que en realidad es malicioso, esta oferta de servicios de ciberdelincuencia dinamiza todo el sector de amenazas cibernéticas.

Ahora, los perpetradores tienen la capacidad de adquirir malware, infraestructura y servicios de phishing, e incluso pueden acceder fácilmente a las víctimas a través de intermediarios que ofrecen acceso inicial. Este mercado consolidado implica que cualquier delincuente, siempre y cuando tenga la motivación y los recursos financieros necesarios, puede obtener herramientas maliciosas efectivas junto con instrucciones detalladas sobre cómo implementarlas.

De esta manera, con la presencia de un mercado para acceder a las víctimas, los incidentes de seguridad tienen la capacidad de desarrollarse y transformarse rápidamente. Un atacante que logra infiltrarse en una red podría optar por vender ese acceso a otro individuo o grupo interesado en dirigirse específicamente a esa víctima, ya sea por su sector de actividad o su ubicación geográfica.

Imaginemos que un atacante llega al límite de sus habilidades técnicas y no puede elevar los privilegios en un servidor perimetral. Aun así, tienen la opción de ofrecer ese acceso en venta, permitiendo que otro actor más competente entre en escena y tome la iniciativa donde el atacante anterior no pudo tener éxito.

En este entorno renovado de ciberdelincuencia altamente organizada, resulta más sencillo discernir los objetivos del atacante, incluso en ausencia de reventa o transferencia de acceso. Es posible adquirir campañas de phishing, infraestructura prefabricada y malware efectivo, incluso cuando la infraestructura de la víctima no proporcione una identificación fiable de quién está detrás de un incidente de seguridad.

A pesar de ello, los delincuentes que persiguen ganancias rápidas podrían estar utilizando las mismas herramientas y tácticas persistentes que los destacados grupos cibercriminales de ransomware. Esta situación dificulta en gran medida la distinción entre los atacantes hasta que están cerca de alcanzar sus objetivos, o ya los han logrado. Por consiguiente, cada incidente de seguridad debe ser tratado con la máxima seriedad y considerado como potencialmente el más severo y peligroso.

Ha sido observado en repetidas ocasiones que cuando surge una nueva vulnerabilidad en una pieza de software de uso generalizado, varios atacantes, desde grupos de crypto-jacking hasta amenazas persistentes avanzadas (APT) o grupos con el respaldo de Estados-nación, aprovechan la oportunidad y preparan su infraestructura de explotación para dirigirse a esa vulnerabilidad y explotarla. Por lo tanto, es crucial que las organizaciones se mantengan informadas sobre el panorama actual de amenazas y apliquen las técnicas de inteligencia de amenazas disponibles para poder responder rápidamente a los ataques más recientes.

Para un equipo de seguridad o administración de infraestructura, puede resultar devastador descubrir que una red ha sido comprometida debido a la explotación de una vulnerabilidad que podría haberse corregido con un parche de seguridad. Sin embargo, la situación es aún más grave cuando se descubre que la red ha sido comprometida debido a la falta de aplicación oportuna de parches y actualizaciones.

El cambio de escenario actual brinda ventajas para los defensores, dado que la utilización común de ciertas herramientas y métodos por parte de varios delincuentes permite centrar la atención en áreas específicas. Por ende, los defensores pueden anticiparse y equiparse con herramientas y tácticas adecuadas para detectar y identificar los patrones de comportamiento actuales de los atacantes, lo que les permite actuar de manera proactiva.

Es probable que no esté al tanto del objetivo final de un atacante en particular durante un compromiso, sin embargo, usted puede:

• Familiarizarse con sus adversarios: emplee inteligencia de amenazas para mantenerse informado sobre las herramientas, tácticas y objetivos comunes de los atacantes. Las tendencias predominantes en la actualidad incluyen la obtención de acceso inicial mediante phishing o la explotación de servicios externamente accesibles que presentan vulnerabilidades. Con frecuencia, los objetivos se alcanzan utilizando tácticas de “vivir de la tierra”, es decir, aprovechando las herramientas del sistema operativo ya disponibles y haciendo uso de frameworks comunes de post-explotación como Cobalt Strike, Metasploit y Sliver. Los objetivos típicos de los atacantes incluyen la obtención de información confidencial, el fraude y la extorsión, específicamente, mediante ransomware.
• Entender sus vulnerabilidades: ¿Cuáles son las superficies externas a través de las cuales puede ser vulnerado? Los servidores web, de correo electrónico y de aplicaciones sin parches siempre han sido objetivos primordiales. Sin embargo, se ha encontrado que incluso la infraestructura de red, como los firewalls de marcas reconocidas, presenta vulnerabilidades que pueden ser explotadas. ¿Cuáles son las posibles rutas de ataque desde su infraestructura hacia sus activos valiosos? ¿Hay controles establecidos para el acceso a información confidencial o su red opera de manera abierta y plana? ¿Utiliza sistemas heredados, Sistemas de Control Industrial o dispositivos de Internet de las Cosas?
• Tomar medidas preventivas: establezca medidas de detección y controles preventivos para las herramientas, tácticas y vías de ataque habituales, además de implementar controles de acceso y restricciones en torno a los datos y las funciones críticas. Monitoree cualquier actividad inusual en su entorno, implemente y preste atención a las detecciones de comportamiento mediante el uso de técnicas de aprendizaje automático, o considere la contratación de un servicio de detección y respuesta gestionada para que lo haga por usted. Eduque proactivamente a su personal y establezca políticas y procedimientos claros que definan sus responsabilidades y estén alineados con los controles técnicos establecidos. Finalmente, aplique los parches de seguridad tan pronto como sea posible.
• Contar con un protocolo de respuesta ante incidentes: al disponer de inteligencia de amenazas, autoevaluación, controles y políticas establecidos, es posible desarrollar un plan de acción que la organización pueda seguir en caso de un incidente.

A pesar de que pueden surgir situaciones inesperadas e impactos durante un incidente de seguridad, haber completado la mayor parte del trabajo previo permite tomar medidas con mayor rapidez, permitiendo luego centrarse en los casos extremos impredecibles.

--------------* Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Líder del Capítulo Querétaro de OWASP.Twitter: https://twitter.com/siliknInstagram: https://www.instagram.com/siliknYouTube: https://www.youtube.com/@silikn7599