Hace unos días se publicó un informe sobre listas elaboradas por operadores de ransomware en la web obscura, las que incluyen solicitudes de acceso inicial que revelan que muchos están interesados en comprar una entrada fácil a empresas estadounidenses con ingresos mínimos de más de 100 millones de dólares.
El acceso inicial es ahora un gran negocio. Los grupos de ransomware como Blackmatter y Lockbit pueden darse el lujo de eliminar parte del trabajo preliminar involucrado en un ciberataque comprando acceso, incluidas credenciales de trabajo o el conocimiento sobre una vulnerabilidad en un sistema corporativo.
Cuando se considera que una campaña de ransomware exitosa puede resultar en pagos por valor de millones de dólares, el costo inicial se vuelve intrascendente y significa que los ciberdelincuentes liberan tiempo para dedicarse a atacar más objetivos.
Aproximadamente 40% de los listados fueron creados por jugadores en el espacio Ransomware-as-a-Service (RaaS). Los operadores de ransomware están dispuestos a pagar, entre 3,000 y 100,000 dólares a “brókers” por valiosos servicios de acceso inicial.
El perfil
Los hallazgos de la compañía de ciberseguridad KELA, basados en observaciones en foros de la web oscura durante julio de 2021, sugieren que los atacantes están buscando grandes empresas estadounidenses, pero también se consideran objetivos canadienses, australianos y europeos.
También que los objetivos rusos generalmente se rechazan de inmediato, y otros se consideran “no deseados”, incluidos los ubicados en países en desarrollo, probablemente porque los pagos potenciales son bajos, aunque no necesariamente en todos los casos.
La razón detrás de este enfoque geográfico es que los actores esperan que las empresas más ricas estén ubicadas en los países más grandes y desarrollados. En contraste, un representante del grupo de ransomware LockBit 2.0 dijo en una entrevista: “Cuanto mayor sea la capitalización de la empresa, mejor. No importa dónde se encuentre el objetivo, atacamos a todos”.
Aproximadamente la mitad de los operadores de ransomware rechazarán las ofertas de acceso a organizaciones del sector de la salud y la educación, sin importar el país. En algunos casos, las entidades gubernamentales y las organizaciones sin fines de lucro también están fuera de la mesa.
Cuando los actores descartan ofertas del sector salud o sin fines de lucro, es más probable que se deba a un código ético propio. Si el sector de la educación está fuera de la mesa, la razón es la misma o el hecho de que las víctimas de la educación simplemente no pueden pagar mucho. Finalmente, si deciden no apuntar a organizaciones gubernamentales, es más bien por precaución y en un intento de evitar la atención no deseada por parte de las fuerzas del orden.
Accesos preferidos
Además, existen métodos de acceso preferidos. El acceso basado en el protocolo de escritorio remoto (RDP) y la red privada virtual (VPN) resultan populares. Específicamente, acceso a productos desarrollados por empresas como Citrix, Palo Alto Networks, VMWare, Cisco y Fortinet.
“En cuanto al nivel de privilegios, algunos atacantes afirmaron que prefieren los derechos de administrador de dominio, aunque no parece ser algo crítico”, afirma el informe.
Además, se encontraron ofertas para paneles de comercio electrónico -bases de datos no seguras y servidores Microsoft Exchange-, aunque pueden ser más atractivos para los ladrones de datos y los delincuentes que intentan implantar software espía y mineros de criptomonedas.
“Todos estos tipos de acceso son indudablemente peligrosos y pueden permitir a los actores de amenazas realizar varias acciones maliciosas, pero rara vez brindan acceso a una red corporativa”, de acuerdo con los investigadores.
No cumplir los criterios anteriormente mencionados, no significa que se esté a salvo de un ataque ransomware, pero las posibilidades disminuyen, según el reporte.
Las similitudes entre los requisitos de los atacantes del #ransomware para seleccionar víctimas, listas de acceso, y las condiciones de los agentes de acceso inicial, ilustran que las operaciones de RaaS se comportan como el negocio de una corporación transnacional con procesos estándarizados.
Forman “estándares de la industria” con una lista negra de sectores y países, definen los ingresos y la geografía de sus “clientes” y ofrecen un precio competitivo para los ciberactores al suministrarles los “bienes” deseados.
Enfrentar diversas amenazas requiere que la ciberseguridad de las empresas invierta en:
- Concientización y capacitación en ciberseguridad a todas las partes interesadas y empleados clave para garantizar que las personas sepan cómo usar de manera segura sus credenciales e información personal en línea.
- Monitoreo regular de vulnerabilidades y parches para proteger continuamente toda su infraestructura de red y evitar cualquier acceso no autorizado por parte de intrusos en la red.
- Monitoreo dirigido y automatizado de activos clave en la darkweb para detectar de inmediato las amenazas que pueden ser aprovechadas a través del ecosistema de cibercrimen subterráneo.