El ransomware invierte fortunas en las cuentas de criptomonedas de los ciberdelincuentes. Pero, ¿dónde termina todo el carbón? ¿Una vida en el regazo del lujo? La investigación de Sophos muestra que se está invirtiendo mucho dinero en nuevos ataques. Cualquiera que pague también financia el próximo ataque contra sí mismo.
¿Adónde van a parar los millones de Bitcoins & Co. que las víctimas de ataques de ransomware pagan a sus chantajistas suponiendo que recuperarán la posesión de sus datos confiscados? Al menos una vez hubo una corazonada: durante el arresto en Ucrania de sospechosos vinculados al grupo de ransomware Clop, se recolectó una impresionante colección de etiquetas de automóviles como evidencia y se cargaron y confiscaron numerosos automóviles de lujo encontrados en grúas.
Reinvertir para más ataques
Pero, como toda buena empresa, los ciberdelincuentes también invierten un cierto porcentaje de las ganancias en las "operaciones". Y la expansión del negocio del cibercrimen en general también es un modelo comercial popular para usar los dólares ganados. Por lo tanto, no sorprende que el año pasado el grupo REvil donara $ XNUMX millón en bitcoins a un foro de ciberdelincuencia como pago inicial por los servicios prestados. Sin embargo, esta acción sirvió más para demostrar a los miembros del foro que el dinero ofrecido era más que una promesa: ya era una inversión obligatoria a gastar en "solicitantes" exitosos.
RAT, LPE, RCE: la jerga del cibercrimen bajo la lupa
Las ofertas en este mercado de ciberdelincuencia suenan crípticas, desde software sin archivos para Windows 10 por hasta $150.000 para la solución original, hasta exploits de día cero que incluyen RCE con un presupuesto multimillonario, hasta ofertas como "Compraré la mayoría de las RAT limpias". .” La lista de términos técnicos en los foros de ciberdelincuencia es larga, los más importantes se describen brevemente a continuación:
RAT = Troyano de acceso remoto
También conocidos como bots o zombies. Las RAT abren lagunas de acceso no autorizado que permiten a los estafadores tomar el control de la PC. Algunas RAT proporcionan comandos de acceso remoto explícitos que activan el registro de teclas, toman capturas de pantalla, graban audio y video o copian archivos confidenciales.
Pero casi todas las RATS también tienen características que pueden actualizar automáticamente las RAT, descargar o instalar malware adicional o aleatorio, o cerrar la RAT original de inmediato y eliminar toda la evidencia. La enorme capacidad de una RAT para transformarse en un tipo de malware completamente diferente muestra que los riesgos que plantea una RAT no detectada son casi ilimitados.
El software sin archivos "vive" en el registro
Técnicamente, el software que "vive" en el registro (en Windows, el lugar donde reside la configuración del sistema operativo) no es realmente sin archivos, porque el registro mismo reside en un archivo en el disco duro. Pero la mayor parte del software que Windows inicia automáticamente al inicio aparece en el registro como un nombre de archivo que contiene el programa que se ejecutará. Entonces, si el programa es malicioso o no deseado, un análisis regular del disco duro puede encontrar y eliminar el malware. Ese es el curso normal. Sin embargo, algunas entradas de registro pueden contener el script o programa real que desea que Windows ejecute codificado directamente en los datos de registro. Las amenazas almacenadas de esta manera no ocupan su propio archivo en el disco y, por lo tanto, son más difíciles de encontrar.
LPE = Escalada de privilegios locales
Los estafadores no pueden penetrar la computadora en un LPE. Pero: si ya están en el sistema, pueden usar una vulnerabilidad LPE para promocionarse de una cuenta de usuario normal a una cuenta con más derechos. El favorito del hacker es el administrador del dominio, casi en pie de igualdad con el administrador del sistema.
RCE = Ejecución remota de código
Hace exactamente lo que dice: los atacantes ingresan a la computadora e inician un programa de su elección sin un nombre de usuario/contraseña de inicio de sesión.
Exploits de día cero
Vulnerabilidades para las que aún no hay parches
Ataque de clic cero
Ataques que no requieren la acción del usuario. La tecnología funciona incluso cuando la computadora está bloqueada o nadie ha iniciado sesión, como suele ser el caso en los servidores.
La pregunta crucial tras un ataque de ransomware: pagar o no
Contar o no contar, esa es la pregunta después de un ataque exitoso de un hacker con ransomware. Desafortunadamente, si bien nunca se debe pagar un rescate, no existe una respuesta única, ya que puede ser la única posibilidad de que la víctima evite un desastre comercial. Sin embargo, como deja en claro el Informe sobre el estado del ransomware 2021 de Sophos, pagar el rescate dista mucho de ser una garantía de recuperación completa de los datos. Solo el 8% de los que pagaron el rescate recuperaron todos sus datos después. "Cualquiera que se haya dicho a sí mismo que pagar el rescate para ahorrar tiempo y esfuerzo de recuperación no puede hacer mucho daño a los demás debería saberlo mejor", dijo Paul Ducklin, tecnólogo sénior de Sophos. “Hacer negocios con los ciberdelincuentes es jugar con fuego, y al mismo tiempo todos deben ser conscientes de que el dinero de la extorsión no solo se gasta en lujos privados, sino también en nuevos ataques y tecnologías, lo que incrementa el crecimiento del negocio del cibercrimen que se impulsa como entero."
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.