Los llaneros solitarios del underground

Rik Ferguson (VP Security Research)

Cuando se habla de delincuencia on line, a menudo se hace en términos de «crimen organizado» o de actividad altamente cualificada patrocinada por el Estado. Tanto es así, de hecho, que podría ser perdonado por pensar que los criminales en solitario on line representan los más pequeños del lado «script kiddie» de la empresa.

El informe del segundo trimestre de Trend Micro «A Rising Tide: New Hacks Threaten Public Technologies»  aporta interesantes conclusiones.

Hacker waiting for something with binary code in background

El mercado del underground para herramientas de malware, vulnerabilidades, exploit kits y cualquier otro nicho criminal está completamente desarrollado. Las barreras de entrada al mercado han caído en los últimos años, los kits de herramientas tipificados están disponibles a bajo o ningún coste, el antiguo malware de alto valor como ZeuS se ha convertido en proyecto de código casi abierto, generando una variedad de mejoras o imitadores y herramientas básicas como keyloggers o taquillas del sistema que se combinan causando un efecto devastador.

Tomemos como ejemplo los ataques Hawkeye que afectaron a pequeñas empresas a escala global, desde China hasta India, Europa y Estados Unidos. Un simple keylogger de  35 dólares, Hawkeye, se utilizó en un sofisticado fraude de «cambio de proveedor» por dos delincuentes nigerianos solitarios.

Del mismo modo «Frapstar,» un operador solitario de Canadá y «LordFenix» de Brasil se beneficiaron de sus esfuerzos en solitario al vender información robada y  banca de malware respectivamente.

Este esfuerzo individual no se limita solo a estos delitos on line más tradicionales. Los puntos de venta de malware han sido testigos durante casi 2 años de la innovación criminal y 2015 ha sido la excepción. Los operadores más pequeños están invirtiendo tiempo y esfuerzo en la creación de nuevas herramientas como FighterPoS y MalumPoS y recoger las recompensas ilegítimas por valor de cientos de miles de dólares por torpedear en particular la industrias verticales, las más significativas en EE.UU. Es sólo cuestión de tiempo que se utilice el código fuente de estos proyectos de efecto más amplio por otros en la comunidad criminal.

Tal vez indicativo de este camino evolutivo de ransomware, en particular, es cripto-ransomware. Mientras que las tasas de infección para variantes modernas como CryptoWall o TorrentLocker parecen marcar una clara tendencia a la baja, esta se arraiga  firmemente como ataques regionalizados, con partners asociados y red de blanqueo de dinero. También están trabajando cada vez más mano a mano con otras partes del ecosistema de software de distribución penal como FAREIT.

Estos nuevos cibercriminales de negocios en solitario o pequeños no son necesariamente los vástagos de los grupos más grandes y establecidos, aunque en muchos casos representan la próxima generación de aspirantes a criminales on line. Una de los aspectos que estos atacantes no pueden haber desarrollado plenamente es un modelo OpSec efectivo, que no deje huellas de sus identidades reales asociadas con sus esfuerzos criminales, como fue el caso de los adolescentes chinos detrás del ANDROIDOS_JIANMO.HAT ransomware Android.

En todo el mundo la fuerza de la ley  está trabajando cada vez más eficazmente, poniendo en común recursos e inteligencia y haciéndose cada vez más eficaz tanto en el inicio como en el cierre de las operaciones on line tipificadas. Todavía tenemos mucho camino por recorrer, pero vamos en la dirección correcta. En palabras de Liam Neeson … «te encontraremos»

Por favor, añade comentarios o sígueme en twitter @rik_ferguson

comentarios en Twitter @ rik_ferguson

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.