Interesante

Cómo es el mercado negro de ransomware

El ataque de ransomware “WannaCry” puso en ascuas a los gobiernos y empresas de todo el mundo, pero de hecho, el mercado clandestino que explota las vulnerabilidades del software o los bugs como este, existen al menos desde los 90’s.


El intercambio informal de estas vulnerabilidades se remonta a los albores de la informática (particularmente al “phreaking” telefónico), jugueteando con dispositivos de telecomunicaciones y al club Massachusetts Model Railway, a quienes se atribuye el fomento de una sub-cultura hacker a principios de la década de 1960 en adelante.

De aquí en más, poco a poco se convirtió en un mercado mundial en la venta de exploits y kits exploit. Esto incluye herramientas de hacking, como Blackhole, Zeus y Spyeye, a veces conocido como “script kiddies”, porque la programación requiere conocimientos básicos, y los hackeos se producen a través de un programa basado en menús.

El mercado ruso de fraudes con tarjeta desarrollado en la década de 1990 como foros online para la venta de tarjetas de crédito robadas y documentos de identidad, se transformó en una empresa de negocios sofisticados. Imitaba los mercados online legales como eBay. En resumen, estos criminales se industrializaron.

La base de datos de la Australian Communication Media Authority’s Spam Intelligence mostró que el malware distribuido mediante spam, con la capacidad de bloqueo de archivos de datos en un sistema informático expuesto, comenzó a aparecer en el año 2012, con muchos más casos reportados a partir de 2013, en adelante.

 

El mercado moderno de malware

La industrialización del mercado del cibercrimen se desarrolló rápidamente con el advenimiento de las redes privadas virtuales (VPN) y The Onion Router o “Tor” a mediados de los años 2000. El informe general de la UNODC de 2013 sobre la Ciberdelincuencia señaló la importancia de estos mercados en la difusión de herramientas de hacking monetizadas.

El informe de la corporación RAND en Hacker’s Bizarre en 2014 dice:

Estos mercados negros están creciendo en tamaño y complejidad. El mercado hacker (alguna vez un variado paisaje de discretas redes ad hoc de individuos motivados inicialmente por poco más que el ego y la notoriedad), se ha convertido en un patio de recreo de grupos sofisticados, impulsados financieramente, y altamente organizados… Los mercados negros y grises de herramientas de hacking, los servicios de piratería, y los frutos de la piratería están ganando atención generalizada a medida que más ataques y mecanismos de ataque se vinculan de una manera u otra a este tipo de mercados.

El informe de 2015 del Australian Cyber Security Centre pone de manifiesto la aparición de los delitos informáticos como un servicio, introduciendo nuevos modelos de negocio para los cibercriminales, y el aumento de su propagación y sofisticación. El fiscal de la División de Cibercrimen del FBI, Gavin Corn, observó que la creación de redes entre los grupos criminales ha mejorado en gran medida por la aparición de nuevas aplicaciones cifradas:

La delincuencia informática antes no era ni siquiera parte del crimen organizado, y ahora es el epítome de la misma.

La evolución de internet ha visto la rápida toma de la tecnología cifrada y anónima.

El valor de este mercado clandestino hoy se calcula en cientos de millones de dólares. Se ha informado que algunas vulnerabilidades fueron vendidas recientemente por alrededor de USD 900.000. Los precios más altos son los que se pagan por los sistemas más seguros tales como el Apple iOS del iPhone, y así sucesivamente, y los costos más bajos son los de los sistemas operativos heredados más antiguos, como Windows XP.

El mercado opera de una manera ordenada con pruebas y evaluaciones antes de la compra. Es similar al negocio del fraude de tarjetas de crédito, en el que se busca crear un servicio fiable estable fomentando el uso repetido.

 

El mercado negro no es el único culpable

Cuando se trata de la eficacia de los productos (malware, ransomware) donde el mercado negro decae, las empresas con fallas de seguridad están en mayor riesgo.

Las pruebas de penetración legítimas de las empresas de seguridad informática, así como las agencias de seguridad nacionales que desean mejorar los arsenales cibernéticos para fines ofensivos, también han tenido un papel en el aumento del valor de los exploits. La adquisición secreta de exploits deja a muchos usuarios ante el desconocimiento del “bug”, y frustrando los proyectos de recompensas de bugs legítimos.

En realidad, cualquier empresa de comercio electrónico o dependiente de internet también debería ser una empresa de seguridad. Las intrusiones que se dirigen a los datos confidenciales o a la prestación de servicios son ahora comunes, y pueden devastar la confianza en el negocio.

Un problema a destacar es la presencia de sistemas informáticos heredados o aplicaciones con sistemas operativos antiguos, que ya no están soportados por el vendedor. El sistema operativo Windows XP es un buen ejemplo, y los exploits con frecuencia se dirigen estos sistemas más antiguos.

Se estima que la mitad de todas las páginas web siguen funcionando en la vieja escritura de HTTP no seguro, en lugar de la HTTPS, más segura, ahora estándar de la industria. Este legado de formatos de página web más viejos, deja a todos expuestos al riesgo de verse comprometidos por los ciberdelincuentes. Estos criminales secuestran sitios web y crear direcciones de sitios falsos para redirigir a las víctimas a dichos sitios con el fin de descargar inadvertidamente un virus como un troyano u otro malware.

La distribución masiva del ransomware “WannaCry” indica el cambio de técnicas de intrusión ransomware de un especialista, o el modo individualmente adaptado de los delitos informáticos, hacia uno capaz de dirigirse en forma simultánea a muchos sistemas informáticos vulnerables o redes. Junto con la creación de botnets a gran escala (una red de ordenadores que pueden ser controlados de forma remota), a menudo diseñados para entregar masivamente correos electrónicos spam o mensajes en redes sociales, la magnitud de estos eventos crece.

En el mejor de los casos, los ataques a esta escala se han descrito como “armas de molestia masiva”, perturbadores, pero no fatales. La aparición de ataques de estilo campaña es ahora un lugar común.

Son capaces de entregar mensajes sociales bien diseñados y manipulados que engañan a los usuarios llevándolos a una página web comprometida, y descargando inadvertidamente un archivo ejecutable que encierra datos. En otros ataques, programas ocultos que registran las pulsaciones de teclado o manipulan el sistema operativo del ordenador se pueden implementar a través de los bugs sin parches en muchos sistemas más antiguos.

La noción de la “brecha digital”, donde algunos tienen acceso a cierta tecnología y otros no, tiene también la dimensión adicional de la seguridad. Que los consumidores y empresas revisen constantemente la fiabilidad de sus intercambios online se hace más difícil que nunca, ya que los cibercriminales pueden duplicar fácilmente ejemplos perfectos de empresas confiables conocidas.

Vía