Cuando los intrusos van a la red oscura



Los empleados se vuelven malos vendiendo información de la empresa robada, a veces promocionando abiertamente sus empresas, dicen los investigadores.

Los investigadores que operan de manera encubierta en la Darkish World-wide-web están notando un aumento en la actividad entre los empleados corruptos que venden acceso y datos robados de sus organizaciones, principalmente compañías financieras y de telecomunicaciones, con fines de lucro.

Charity Wright, analista e investigadora de inteligencia de amenazas cibernéticas en IntSights, dice que el empleado deshonesto, que a menudo trabaja a través de agentes clandestinos, es un fenómeno creciente en la Dim Web. Los investigadores han observado a vendedores, especialmente en foros de habla rusa, discutiendo abiertamente cómo ofrecen servicios donde roban y venden información de sus empleadores.

Los investigadores detectaron a un par de empleados de telecomunicaciones que venden registros de mensajes de texto e información de geolocalización de tarjetas SIM de teléfonos, por ejemplo. «Hay un gran potencial de daño si lo usan para atacar a VIP o empleados del gobierno», señala Wright. «Estos servicios son relativamente baratos, y todo lo que tiene que hacer es proporcionarles un número de teléfono y pueden darle todo lo que tienen».

Los empleados de firmas financieras deshonestas generalmente cobran más: los corredores ofrecen 10 veces más dinero por la información suministrada por los expertos bancarios. «Debido a que tienen las llaves del reino … con información bancaria del cliente a la que tienen acceso y acuerdos que se están cerrando, para el uso de información privilegiada», dice ella.

IntSights ha estado estudiando la tendencia privilegiada en la Dark Net durante los últimos cuatro años. En 2017, IntSights y RedOwl publicaron un informe, «Monetizando al Insider: La creciente simbiosis de los iniciados y la Dim World-wide-web», en su estudio de dos años de foros de Dim Website que reclutan a los iniciados. En ese momento, notaron un aumento doble en la divulgación de información privilegiada y las discusiones en los foros entre 2015 y 2016.

Los reclutas internos pasan por un elaborado proceso de selección y verificación por parte de los foros, incluida la confirmación del acceso que tiene la información privilegiada dentro de su organización y la rapidez con que pueden tomarlo y liberarlo. Una vez que están adentro, están protegidos con una mortaja de anonimato, encontró el estudio.

Más recientemente, IntSights ha encontrado que los foros más activos para los intrusos incluyen Darkish Cash, un foro para comprar y vender información bancaria robada cc, un sitio website oscuro y exploit.IN, un popular foro ruso de Dark World wide web, dice ella. Genesis Sector, Joker&#39s Stash y Bitify se encuentran entre algunos de los mercados subterráneos donde las tarjetas bancarias robadas pueden ir desde $ 30 a $ 50 cada una, o $ 95 por tarjetas «nuevas», por ejemplo, dice Wright.

Sin embargo, lo que no está claro es cómo estos empleados se volvieron mal acceso a la información que roban y monetizan. «Parece que ya tienen acceso a él en sus trabajos, ya sea que se supone que tienen o tal vez tienen acceso de administrador que se supone que no deben tener … No estamos realmente seguros de cómo obtuvieron el acceso», dice ella. . «Pero definitivamente están ahí fuera y en algunas regiones determinadas, como Rusia, son bastante descarados y abiertos sobre para qué compañía trabajan. Ni siquiera están tratando de ocultarlo».

Sin embargo, esa franqueza no es el caso en los foros de habla inglesa, donde los expertos y vendedores deshonestos son más cautos y desconfían de los compradores y las preguntas. «En los foros en inglés, tienden a ser mucho más cautelosos y sospechosos», especialmente ahora que son conscientes de que los investigadores y las fuerzas del orden se están infiltrando en sus espacios, dice. Y debido a que la policía ha estado cerrando algunos de estos foros en los últimos años, es más difícil rastrear a dónde van los intrusos luego, señala Wright, quien presentará algunos de IntSights &#39 últimos hallazgos de Dark Net en Black Hat Europe en Londres esta semana

Pero identificar en la Website oscura quién está detrás de qué y de dónde vino no siempre es necesariamente fácil de cortar. Hay muchos cibercriminales que venden datos que les han robado a sus víctimas.

«La economía de escala de Dark World wide web tiene una multitud de participantes, no todos ellos cibercriminales a tiempo completo», señala Tom Kellermann, estratega jefe de seguridad cibernética de Carbon Black, ahora parte de VMware, que ha visto un aumento del 41% en llamado «salto de isla», donde los atacantes giran de una víctima a sus socios comerciales u otros objetivos conectados para robar información.

«El desafío es determinar si se trata de personas con información privilegiada o con información privilegiada electronic que comanda la transformación digital de la corporación y la utiliza para datos de isla en isla y acceso a minas», dice.

Descubriendo el camino difícil
IntSights es contratado por organizaciones para profundizar en sus datos robados en la Dark Web. A menudo no tienen visibilidad de sus datos que se escapan de la organización, señala Wright. «Muchas organizaciones son muy conscientes de lo que está sucediendo en sus redes y de lo que los está atacando (y lo que ocurre) dentro, pero no son muy conscientes de lo que está expuesto … fuera de su red», dice.

Las organizaciones ya están inundadas de incidentes de seguridad a diario, a menudo con un equipo de seguridad con poco own, por lo que primero clasifican las principales amenazas. «Primero comienzan con los objetivos más cercanos y las mayores amenazas», dice Wright. «Primero, es el malware y la pérdida de datos, y luego, si maduras tu organización hasta el punto en que puedes permitirte un equipo de amenazas internas, generalmente es una persona. Luego se sienten abrumados una vez que comienzan a investigar la amenaza interna».

Los intrusos no son la forma más común de amenaza interna, por supuesto. El mistake humano es mucho más común: hacer clic en un archivo adjunto de phishing, por ejemplo. «Los intrusos son un componente importante de la pérdida de datos de la empresa. Los usuarios finales o administradores con intenciones maliciosas son capaces de destruir el vandalismo electronic, valiosa propiedad intelectual, secretos comerciales y datos de trabajo valiosos en segundos, con el clic de un botón», dice Garth Landers , director de promoting de productos para archivar en Mimecast, que lanzó hoy un informe sobre pérdida de datos en empresas financieras.

Landers, quien señala que el mistake humano es mucho más común, dice que la amenaza de los intrusos requiere una fuerte estrategia de gobierno para protegerse de la pérdida de datos.

Contenido relacionado:

Echa un vistazo a The Edge, la nueva sección de Dark Looking through para obtener características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Una causa que le interesa necesita su ayuda de ciberseguridad».

Kelly Jackson Higgins es la Editora Ejecutiva de Dim Looking through. Es una galardonada periodista veterana en tecnología y negocios con más de dos décadas de experiencia en informes y edición para diversas publicaciones, incluidas Community Computing, Secure Organization … Ver biografía completa

Más ideas





Enlace a la noticia primary