El modelo de negocio de ransomware como servicio se ve afectado tras el ataque Colonial Pipeline


A las bandas de ciberdelincuencia les resulta más difícil reclutar socios para los programas de afiliados que impulsan los ataques de ransomware.

Resumen de archivos cifrados de virus Malware Ransomware con teclado sobre fondo rojo de bits binarios. Ilustración de vector concepto de ciberdelincuencia y seguridad cibernética.

Imagen: iStockphoto / nicescene

La mejor manera de detener la ola cada vez mayor de ataques de ransomware es eliminar el incentivo financiero detrás de estos delitos cibernéticos. La respuesta al ataque de ransomware Colonial Pipeline puede ser el primer paso para hacer precisamente eso. Tanto los gobiernos como los foros de piratas informáticos han dificultado que las bandas de ransomware utilicen el modelo de ransomware como servicio (RaaS). Este modelo de negocio escalable requiere varios grupos: ingenieros para escribir computer software de cifrado, expertos en penetración de redes para encontrar y comprometer objetivos y negociadores profesionales para garantizar el máximo rendimiento.

Bryan Oliver, analista senior de Flashpoint, dijo que la respuesta de los gobiernos tras el ataque Colonial Pipeline ha dificultado que los grupos de ransomware recluten socios.

«El principal resultado de la acción del gobierno ha sido la prohibición del reclutamiento de grupos de ransomware en los foros rusos clandestinos de primer nivel», dijo Oliver.

Oliver dijo que este cambio no terminará pronto con los ataques de ransomware, pero es un paso significativo porque hace que el modelo de ransomware como servicio sea menos rentable.

«Los foros de Exploit y XSS fueron los motivos de reclutamiento para estos grupos de ransomware, y perder el acceso a ellos significa perder el acceso a nuevos socios», dijo.

Oliver dijo que los administradores de estos foros también prohibieron el colectivo DarkSide a mediados de mayo y distribuyeron su depósito de aproximadamente $ 1 millón a los «socios» de DarkSide que afirmaron que DarkSide no les había pagado.

«Desde entonces, también han eliminado publicaciones de sus foros relacionadas con el reclutamiento de ransomware», dijo.

Amit Serper, vicepresidente de investigación de Guardicore para América del Norte, dijo que espera ver un cambio en los ataques de ransomware con los Estados Unidos y otros gobiernos nacionales intensificando su lucha contra los malos actores.

«El hecho de que el gobierno de Estados Unidos haya logrado apoderarse de algunos de los fondos que fueron pagados por Colonial sienta un precedente interesante», dijo. «Si los gobiernos pueden &#39desanonimizar&#39 las transacciones de criptomonedas y confiscar los fondos robados, los ataques de ransomware de repente se vuelven insostenibles financieramente».

VER: Las muchas formas en que un ataque de ransomware puede dañar su organización (TechRepublic)

Thomas Olofsson, CTO de FYEO, dijo que las organizaciones de ransomware parecen ser un poco más autónomas, también como resultado de la respuesta al ataque Colonial Pipeline.

«Varios de los grupos han dicho: &#39No queremos apuntar a la atención médica, especialmente durante una pandemia, por lo que no obtendrá nuestra licencia para instalar ransomware en esos objetivos», dijo.

FYEO monitorea alrededor de 13 grupos que son actores importantes en el área del ransomware. Olofsson también dijo que los grupos de ransomware ahora están investigando los objetivos antes de iniciar un ataque en respuesta a lo que sucedió con el grupo de ransomware DarkSide después del ataque Colonial Pipeline.

«Estos grupos de ransomware no quieren convertirse en el próximo objetivo», dijo. «Quieren ser vistos como los Robin Hood que simplemente atacan a los bancos y las grandes corporaciones».

Olofsson dijo que el grupo DarkSide pensó que estaban atacando a una gran compañía petrolera y no consideró cómo afectaría el ataque a los usuarios finales.

«Si le pegas al pequeño, no se ve bien porque tú mismo te conviertes en el objetivo», dijo.

Oliver de Flashpoint dijo que algunos grupos de ransomware, como REvil, han respondido a esto afirmando que operarán en «modo privado» en lugar de RaaS, pero otros pueden haberlo abandonado.

«Desde entonces también han surgido otros grupos, como Grief y Prometeo, pero sin la capacidad de reclutar de un grupo de actores de amenazas altamente capacitados en un entorno relativamente seguro, es possible que el ransomware sea menos dinámico y efectivo «, dijo.

Oloffson dijo que los malos actores también han cambiado sus objetivos más comunes de fruta madura a ser más selectivos sobre a quién atacar.

«Solía ​​ser una botnet que infectaba hosts aleatorios, pero los malos actores ahora están poniendo más esfuerzo, como configurar dominios falsos para ingresar a un hilo de correo electrónico e infectar a las personas a través de canales confiables», dijo.

Olofsson dijo que las ciberdefensas han sido más fuertes durante el último año, pero que los atacantes todavía están un paso por delante.

«Se está volviendo más común que los grupos ataquen las copias de seguridad y también apunten a la infraestructura central», dijo. «Están comenzando con la copia de seguridad y luego encriptando el host».

Olofsson dijo que las empresas deberían usar un enfoque en capas para defenderse de los ataques, como usar más de una puerta de enlace y no tener todo conectado a la misma red. También ha visto ataques a través de concentradores VPN.

«Los equipos de seguridad deben monitorear lo que está accesible en Web y asegurarse de que no haya ningún concentrador de VPN o cosas accesibles desde Net porque todo lo que está conectado se escanea al menos 10 veces al día», dijo.

Ver también



Enlace a la noticia first