La ciberdelincuencia es cada vez más floreciente como modelo de negocio, el ransomware y el ransomware como servicio son impulsores de la innovación y los datos de acceso robados actúan cada vez más como una fuente de ingresos. Según Sophos, el año 2023 también espera a las empresas en ciberdefensa.
Sophos ha publicado su Informe de amenazas de 2023. Entre otras cosas, el informe describe un nuevo grado de comercialización dentro del ciberdelito, como resultado de lo cual las ofertas introductorias de bajo umbral están cada vez más disponibles para los atacantes potenciales: casi todos los escenarios se pueden comprar. Un mercado en auge del delito cibernético como servicio atiende a una audiencia criminal que va desde los expertos en tecnología hasta los completamente ignorantes.
Los temas del Informe de amenazas de Sophos actual
- La industria del delito cibernético como servicio ha alcanzado un nuevo nivel de comercialización que elimina muchas barreras de entrada para los posibles delitos cibernéticos y, dada la liquidez, pone tácticas de amenazas avanzadas en manos de casi cualquier delincuente.
- El ransomware sigue siendo una de las principales amenazas a las que se enfrentan las empresas, y los ciberdelincuentes se centran en "innovar" sus tácticas de ataque y técnicas de extorsión.
- La guerra en Ucrania ha llevado a una reestructuración de las alianzas criminales y una remodelación del panorama del ransomware.
- Los ciberdelincuentes utilizan cada vez más el robo de credenciales para infiltrarse en las redes específicas.
Los actores de amenazas continúan usando herramientas y ejecutables legítimos para lanzar ataques y cada vez más introducen sus propias vulnerabilidades. - Los dispositivos móviles están en el centro de las nuevas tendencias de ciberdelincuencia: tanto los dispositivos Android como iOS se ven afectados.
- Una de las formas más antiguas de criptocrimen, la criptominería, está en declive a medida que Monero (una de las monedas más populares) pierde valor. El criptofraude, por otro lado, ya es una industria en crecimiento en el sur de Asia.
El ransomware como impulsor del mercado y modelo para otros tipos de malware
Los mercados clandestinos delictivos como Génesis han facilitado durante mucho tiempo la compra de malware y servicios de implementación de malware ("malware como servicio") y la venta masiva de credenciales robadas y otros datos. Durante la última década, ha surgido toda una economía de "ransomware como servicio" a medida que ha crecido la popularidad del ransomware. Los ciberdelincuentes han tomado como ejemplo el éxito de esta infraestructura y están siguiendo su ejemplo. Entonces, ahora, en 2022, el modelo "como servicio" se ha expandido enormemente y casi todos los aspectos del delito cibernético, desde la infección inicial hasta las formas de evitar la detección, están a la venta.
Además, los mercados de ciberdelincuentes también funcionan cada vez más como empresas normales. Algunos mercados han creado páginas dedicadas a las solicitudes de empleo y la contratación de empleados, donde los solicitantes de empleo describen brevemente sus habilidades y calificaciones.
"Los ciberdelincuentes ahora están vendiendo herramientas y habilidades que antes solo estaban en manos de algunos de los atacantes más sofisticados como servicios a otros actores", dijo Sean Gallagher, investigador principal de amenazas en Sophos. “Por ejemplo, durante el año pasado vimos anuncios de OPSEC-as-a-Service, donde los vendedores se ofrecieron a ayudar a los atacantes a ocultar las infecciones de Cobalt Strike, y vimos Scanning-a-Service, que brinda a los compradores acceso a información legítima. herramientas comerciales como Metasploit para que puedan encontrar vulnerabilidades y luego explotarlas. La comercialización de casi todos los componentes del ciberdelito abre nuevas oportunidades para todo tipo de atacantes”.
Aplazamiento de asociaciones ciberdelincuentes debido a la guerra de Ucrania
Tradicionalmente, los ucranianos y los rusos han sido durante mucho tiempo socios en el negocio del cibercrimen, especialmente cuando se trata de ransomware. Sin embargo, con el estallido de la guerra, algunas pandillas se han desintegrado. Entre otras cosas, esto condujo a Conti Leaks: la publicación de los registros de chat de este grupo de ransomware. Otra cuenta de Twitter también afirmó haber espiado a los presuntos miembros de Trickbot, Conti, Mazo, Diavol, Ryuk y Wizard Spiders. Sin embargo, en general, el trabajo internacional contra el ransomware no se ha vuelto más fácil. Así se han reagrupado los grupos de ransomware, y parece, entre otras cosas, que ha surgido un nuevo “REvil”.
El ransomware sigue siendo popular e innovador
A pesar de la expansión de la infraestructura del ciberdelito, el ransomware sigue siendo muy popular y muy rentable. Durante el año pasado, los operadores de ransomware han estado trabajando para expandir su potencial servicio de ataque, apuntando a plataformas distintas a Windows e introduciendo nuevos lenguajes como Rust y Go para evitar la detección. Algunos grupos, sobre todo Lockbit 3.0, han diversificado sus operaciones y han desarrollado métodos más "innovadores" para extorsionar a las víctimas.
“Si hablamos de la creciente sofisticación del clandestino criminal, también lo hace el mundo del ransomware. Lockbit 3.0, por ejemplo, ahora ofrece programas de recompensa por errores para su malware y busca ideas de la comunidad criminal para mejorar sus operaciones. Otros grupos se han movido a un "modelo de suscripción" para acceder a sus datos saqueados, y otros más los están subastando. El ransomware se ha convertido ante todo en un negocio”, dijo Gallagher.
Datos de acceso a productos calientes
La economía clandestina en evolución no solo ha estimulado el crecimiento del ransomware y la industria "como servicio", sino que también ha aumentado la demanda de credenciales robadas. Con la proliferación de los servicios web, se pueden usar diferentes tipos de credenciales, en particular las cookies, de diversas formas para afianzarse más en las redes e incluso eludir la autenticación multifactor. El robo de credenciales también es una de las formas más fáciles para que los delincuentes obtengan acceso a los mercados clandestinos y comiencen su "carrera".
Acerca del Informe de amenazas de Sophos 2023
El Informe de amenazas de Sophos 2023 se basa en investigaciones y conocimientos de Sophos X-Ops, una nueva entidad multifuncional que reúne a tres equipos establecidos de expertos en ciberseguridad en Sophos (SophosLabs, Sophos SecOps y Sophos AI). Sophos X-Ops está compuesto por más de 500 expertos en ciberseguridad en todo el mundo que pueden pintar una imagen completa y multidisciplinaria de un panorama de amenazas cada vez más complejo. Para obtener más información sobre los ciberataques y TTP diarios, siga a Sophos X-Ops en Twitter y suscríbase para recibir los últimos artículos e informes sobre investigación de amenazas y operaciones de seguridad desde la primera línea de la ciberseguridad.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.