Del código fuente de Babuk a los listados personalizados de Darkside: exponiendo un próspero mercado de ransomware en la Dark Internet


SALT LAKE City, 2 de agosto de 2022— Vamos, el inventor y proveedor líder de administración de identidades de máquinas, anunció hoy los hallazgos de una investigación de Dark Internet sobre el ransomware que se propaga a través de macros maliciosas. Realizado en colaboración con un proveedor de inteligencia felony Vías forenses Entre noviembre de 2021 y marzo de 2022, la investigación analizó 35 millones de URL de la Darkish Website, incluidos mercados y foros, utilizando Forensic Pathways Dark Look for Engine. Los hallazgos descubrieron 475 páginas internet de sofisticados productos y servicios de ransomware, con varios grupos de alto perfil que comercializan agresivamente el ransomware como servicio.

  • El 87 % del ransomware encontrado en la darkish net se entregó a través de macros maliciosas para infectar sistemas específicos.
  • Se identificaron 30 «marcas» diferentes de ransomware en listados de mercado y discusiones en foros.
  • Muchas cepas de ransomware que se venden, como Babuk, GoldenEye, Darkside/BlackCat, Egregor, HiddenTear y WannaCry, se han utilizado con éxito en ataques de alto perfil.
  • Las cepas de ransomware utilizadas en ataques de alto perfil cobran un precio más alto por los servicios asociados. Por ejemplo, la lista más cara fue de $1262 por una versión personalizada del ransomware Darkside, que se usó en el infame ataque de ransomware Colonial Pipeline de 2021.
  • Los listados de código fuente para ransomware conocido generalmente tienen puntos de precio más altos El código fuente de Babuk se cotiza por $ 950 y el código fuente de Paradise se vende por $ 593.

“El ransomware continúa siendo uno de los mayores riesgos de ciberseguridad en todas las organizaciones”, dijo Kevin Bocek, vicepresidente de estrategia de seguridad e inteligencia de amenazas de Venafi. «El ataque de ransomware en Colonial Pipeline fue tan grave que se consideró una amenaza para la seguridad nacional, lo que obligó al presidente Biden a declarar el estado de emergencia».

Las macros se utilizan para automatizar tareas comunes en Microsoft Office environment, lo que ayuda a las personas a ser más productivas. Sin embargo, los atacantes pueden usar esta misma funcionalidad para entregar muchos tipos de malware, incluido el ransomware. En febrero, Microsoft anunció un cambio importante para combatir el rápido crecimiento de los ataques de ransomware entregados a través de macros maliciosas, pero revirtió temporalmente esa decisión en respuesta a los comentarios de la comunidad.

“Dado que casi cualquier persona puede lanzar un ataque de ransomware utilizando una macro maliciosa, la indecisión de Microsoft sobre la desactivación de macros debería asustar a todos”, dijo Bocek. «Si bien la empresa ha cambiado de rumbo por segunda vez en la desactivación de macros, el hecho de que haya una reacción violenta de la comunidad de usuarios sugiere que las macros podrían persistir como un vector de ataque maduro».

Además de una variedad de ransomware en varios puntos de precio, la investigación también descubrió una amplia gama de servicios y herramientas que ayudan a que los atacantes con habilidades técnicas mínimas puedan lanzar ataques de ransomware más fácilmente. Los servicios con la mayor cantidad de listados incluyen aquellos que ofrecen código fuente, servicios de compilación, servicios de desarrollo personalizados y paquetes de ransomware que incluyen tutoriales paso a paso.

Los servicios genéricos de compilación de ransomware también tienen precios altos, con algunos listados que cuestan más de $ 900. En el otro extremo del espectro de precios, hay muchas opciones de ransomware de bajo costo disponibles en varios listados, con precios que comienzan en solo 99 centavos para el ransomware Lockscreen.

Estos hallazgos son otro ejemplo de la necesidad de un plano de management de gestión de identidad de la máquina
para impulsar resultados comerciales específicos, incluida la observabilidad, la consistencia y la confiabilidad. En distinct, la firma de código es un manage de seguridad de administración de identidad de máquina clave que elimina la amenaza del ransomware habilitado para macros.

«El uso de certificados de firma de código para autenticar macros significa que las macros sin firmar no pueden ejecutarse, lo que detiene los ataques de ransomware en seco», concluye Bocek. «Esta es una oportunidad para que los equipos de seguridad intensifiquen y protejan sus negocios, especialmente en banca, seguros, atención médica y energía, donde las macros y los documentos de Office se usan todos los días para impulsar la toma de decisiones».

Acerca de la investigación

Esta investigación fue realizada entre noviembre de 2021 y marzo de 2022 por Venafi en asociación con Forensic Pathways, que desarrolló Darkish Look for Engine (DSE), un rastreador/raspador automatizado de Tor.Onion Darkish World-wide-web. La herramienta de inteligencia contiene más de 35 millones de URL en el índice.

Se utilizó información disponible públicamente, como Personal computer Hazard, para determinar si se usaron macros maliciosas en el vector de ataque inicial.

Para más información lea el Blog site.

Sobre Venafi

Venafi es el líder del mercado de ciberseguridad en la gestión de identidades de máquinas. Desde el suelo hasta la nube, las soluciones de Venafi administran y protegen las identidades de todo tipo de máquinas, desde dispositivos físicos y de IoT hasta aplicaciones de software, API y contenedores. Venafi proporciona visibilidad worldwide, automatización del ciclo de vida e inteligencia procesable para todos los tipos de identidad de máquinas y los riesgos de seguridad y confiabilidad asociados con ellos.

Jetstack, una empresa de Venafi, es una empresa de consultoría estratégica y productos nativos de la nube que trabaja con empresas que utilizan Kubernetes y OpenShift. Jetstack, pionero del código abierto, ha logrado un noteworthy reconocimiento en la industria como creador de cert-manager, el estándar de la industria de código abierto para la administración de identidades de máquinas nativas en la nube.

Los productos y soluciones de código abierto de Jetstack protegen los entornos de aplicaciones y la infraestructura de la plataforma de los bancos globales, las empresas minoristas multinacionales y las organizaciones de defensa al proporcionar a los equipos de seguridad y plataforma empresarial el poder de construir, escalar y asegurar su infraestructura en la nube.

Con más de 30 patentes, Venafi ofrece soluciones innovadoras de administración de identidad de máquinas para las organizaciones y agencias gubernamentales más exigentes y conscientes de la seguridad del mundo, incluidas las cinco principales aseguradoras de salud de EE. UU. las cinco principales aerolíneas estadounidenses los cuatro principales emisores de tarjetas de crédito tres de las cuatro principales firmas de consultoría y contabilidad cuatro de los cinco principales minoristas de EE. UU. y los cuatro bancos principales en cada uno de los siguientes países: EE. UU., Reino Unido, Australia y Sudáfrica.

www.venafi.com

www.jetstack.io

Acerca de las vías forenses

Incorporada en 2001, Forensic Pathways proporciona tecnologías innovadoras dentro del campo de la inteligencia felony.

Centrado principalmente en la provisión de tecnologías forenses digitales, Forensic Pathways ofrece a sus clientes internacionales tecnologías únicas en la gestión de datos de teléfonos móviles, análisis de imágenes y análisis balístico.



Enlace a la noticia first