Una explosión de ransomware fomenta el próspero ecosistema de la Dark Internet



La economía clandestina está en auge, fomentada por un sector de ransomware creciente y en evolución. Darkish Net ahora tiene cientos de prósperos mercados donde se puede obtener una amplia variedad de productos y servicios profesionales de ransomware a una variedad de precios.

Investigadores de Venafi y Forensic Pathways analizaron unos 35 millones de URL de la Dim World wide web, incluidos foros y mercados, entre noviembre de 2021 y marzo de 2022 y descubrieron 475 páginas internet llenas de listas de cepas de ransomware, código fuente de ransomware, servicios de creación y desarrollo personalizado, y servicios completos. ofertas de ransomware como servicio (RaaS).

Una plétora de herramientas de ransomware

Los investigadores identificaron 30 familias de ransomware diferentes que se encuentran a la venta en las páginas y encontraron anuncios de variantes conocidas como DarkSide/BlackCat, Babuk, Egregor y GoldenEye que anteriormente se habían asociado con ataques a objetivos de alto perfil. Los precios de estas herramientas de ataque probadas tendían a ser significativamente más altos que las variantes menos conocidas.

Por ejemplo, una versión personalizada de DarkSide, el ransomware utilizado en el ataque de Colonial Pipeline, tenía un precio de $ 1262, en comparación con algunas variantes que estaban disponibles por tan solo $ ,99. Mientras tanto, el código fuente del ransomware Babuk se cotizaba en $ 950, mientras que el de la variante Paradise se vendió por $ 593.

«Es probable que otros piratas informáticos compren el código fuente del ransomware para modificarlo y crear sus propias variaciones, de manera similar a un desarrollador que united states of america una solución de código abierto y la modifica para satisfacer las necesidades de su empresa», dice Kevin Bocek, vicepresidente de estrategia de seguridad e inteligencia de amenazas en Venafi.

El éxito que han tenido los actores de amenazas con variantes como Babuk, que se utilizó en un ataque contra el departamento de policía de Washington DC el año pasado, hace que el código fuente sea más atractivo, dice Bocek. «Entonces puede ver por qué un actor de amenazas querría usar la variedad como base para desarrollar su propia variante de ransomware».

No se requiere experiencia

Los investigadores de Venafi descubrieron que, en muchos casos, las herramientas y los servicios disponibles a través de estos mercados, incluidos los tutoriales paso a paso, son diseñado para permitir a los atacantes con habilidades técnicas mínimas y experiencia para lanzar ataques de ransomware contra las víctimas de su elección.

«La investigación encontró que las cepas de ransomware se pueden comprar directamente en Darkish Net, pero también que algunos ‘proveedores’ ofrecen servicios adicionales como soporte técnico y complementos pagos, como procesos imposibles de eliminar para ataques de ransomware, así como tutoriales», dice Bocek. .

Otros proveedores han informado sobre el uso creciente entre los actores de ransomware de los servicios de acceso inicial, para afianzarse en una crimson de destino. Los intermediarios de acceso inicial (IAB) son actores de amenazas que venden el acceso a una red previamente comprometida a otros actores de amenazas.

Los corredores de acceso inicial prosperan en la economía clandestina

Un estudio realizado por Intel471 a principios de este año encontró una nexo creciente entre los actores de ransomware y los IAB. Entre los jugadores más activos en este espacio se encuentran Júpiter, un actor de amenazas que ofreció acceso a hasta 1195 redes comprometidas en el primer trimestre del año y Neptune, que puso a la venta más de 1300 credenciales de acceso en el mismo período de tiempo.

Los operadores de ransomware que Intel471 detectó usando estos servicios incluyeron Avaddon, Pysa/Mespinoza y BlackCat.

A menudo, el acceso se proporciona a través de credenciales comprometidas de Citrix, Microsoft Distant Desktop y Pulse Protected VPN. SpiderLabs de Trustwave, que controla los precios de varios productos y servicios en la Darkish Net, explain las credenciales de VPN como los registros más caros en los foros clandestinos. Según el vendedor, los precios del acceso VPN pueden llegar hasta los $5,000 —e incluso más— según el tipo de organización y el acceso que proporcione.

“Espero ver un alboroto de ransomware que continúe como lo ha hecho en los últimos años”, dice Bocek. servicio o una crimson de dispositivos IoT».

Un paisaje fragmentado

Mientras tanto, otro estudio publicado esta semana, un informe de amenazas de mitad de año de Examine Place, muestra que el panorama del ransomware está plagado de muchos más jugadores de lo que generalmente se percibe. Los investigadores de Check Position analizaron los datos de los compromisos de respuesta a incidentes de la empresa y descubrieron que, si bien algunas variantes de ransomware, como Conti, Hive y Phobos, eran más comunes que otras variantes, no representaban la mayoría de los ataques. De hecho, el 72% de los incidentes de ransomware a los que respondieron los ingenieros de Check Stage involucraron una variante que habían encontrado solo una vez anteriormente.

«Esto sugiere que, contrariamente a algunas suposiciones, el panorama del ransomware no está dominado solo por unos pocos grupos grandes, sino que en realidad es un ecosistema fragmentado con múltiples jugadores más pequeños que no son tan publicitados como los grupos más grandes», según el informe.

Verify Point, al igual que Venafi, caracterizó al ransomware por seguir presentando el mayor riesgo para la seguridad de los datos empresariales, como lo ha hecho durante los últimos años. El informe del proveedor de seguridad destacó campañas como los ataques de ransomware del grupo Conti en Costa Rica (y posteriormente en Perú) a principios de este año como ejemplos de cuán significativamente los actores de amenazas han ampliado su objetivo, en busca de ganancias financieras.

Big Ransomware Fish puede volverse loco

Varios de los grupos de ransomware más grandes han crecido hasta el punto en que emplean a cientos de piratas informáticos, tienen ingresos de cientos de millones de dólares y pueden invertir en cosas como equipos de investigación y desarrollo, programas de handle de calidad y negociadores especializados. Cada vez más, los grupos de ransomware más grandes han comenzado a adquirir capacidades de actor de estado-nación, advierte Check out Stage.

Al mismo tiempo, la atención generalizada que estos grupos han comenzado a atraer de los gobiernos y las fuerzas del orden probablemente los alentará a mantener un perfil authorized, dice Look at Place. El gobierno de los Estados Unidos, por ejemplo, ha ofrecido una recompensa de $ 10 millones por información que conduzca a la identificación y/o detención de miembros de Conti, y $5 millones para grupos capturados usando Conti. Se cree que el calor contribuyó a la decisión del grupo Conti a principios de este año de cesar las operaciones.

«Habrá una lección aprendida del grupo de ransomware Conti», dice Look at Point en su informe. «Su tamaño y poder atrajeron demasiada atención y se convirtieron en su ruina. En el futuro, creemos que habrá muchos grupos pequeños y medianos en lugar de unos pocos grandes, para que puedan pasar desapercibidos más fácilmente».



Enlace a la noticia unique