El 12 de mayo, los expertos de Kaspersky Lab
publicaron un amplio informe sobre la evolución de los ataques con cifrado de datos y posterior extorsión. El artículo se centra principalmente en la organización de este negocio criminal y examina los ataques a grandes empresas. Una de las tendencias claras del año fue la búsqueda de "caza mayor" por parte de bandas criminales, organizaciones relativamente grandes capaces de pagar un rescate importante en moneda digital. El informe se produce en medio de noticias diarias sobre ataques a empresas, incluidos eventos de alto perfil como el ataque a la empresa Colonial Pipeline.
Lo más importante que debe saber sobre estos grupos es que son complejos y no funcionan de forma autónoma. No será posible deshacerse de esta amenaza, incluso si los organizadores de una campaña separada son encontrados y arrestados. El ecosistema dejará de funcionar solo si pierde sus ingresos, es decir, cuando las personas afectadas dejen de pagar el rescate. El estudio proporciona ejemplos de contratación de nuevas organizaciones e identifica roles típicos: proveedores de credenciales, desarrolladores de malware, analistas responsables del lavado de criptomonedas.
El mito más relevante, que se refuta en el artículo, es la afirmación de que los objetivos de los ataques se seleccionan de antemano. De hecho, se encuentran al azar. La mayoría de las veces, los propietarios de redes de bots y corredores que venden acceso a computadoras y servidores comprometidos publican información sobre posibles víctimas y los objetivos se determinan "en función de la disponibilidad". Aquí hay una recomendación importante para los profesionales de seguridad de TI: necesita detectar oportunamente los incidentes individuales relacionados con la penetración en el perímetro protegido o la infección de malware. Puede haber un lapso de tiempo entre esta primera llamada y un ataque a gran escala para evitar consecuencias graves.
El estudio detalla las actividades de dos grandes grupos de ransomware, REvil y Babuk. Entre otras cosas, existe una presión más agresiva sobre las víctimas potenciales, lo que las motiva a pagar el rescate más rápido. Para ello, se crean sitios web con ejemplos de datos robados en la red oscura y la información sobre filtraciones se “filtra” en los medios. Por el contrario, se mejora la asistencia a las víctimas para facilitar la "experiencia del cliente"; por ejemplo, se crea un chat independiente para comunicarse con el ransomware. En una publicación anterior de los expertos de Kaspersky Lab sobre el tema del ransomware "personalizado", se observó una disminución en el número de ataques a gran escala. El nuevo informe muestra dónde se ha desplazado la atención de los ciberdelincuentes y detalla la transformación de las operaciones delictivas en un negocio complejo y ramificado.
Que mas paso
El ataque al operador del Oleoducto Colonial en Estados Unidos provocó una breve interrupción en el suministro de productos petrolíferos en la costa este del país, provocó el pánico en las gasolineras y es probable que provoque nuevos cambios en las medidas para combatir el ciberdelito. Hubo muchas publicaciones sobre este ataque la semana pasada, pero no se ha confirmado toda la información. Estos son los artículos más interesantes:
- Un análisis de la facción DarkSide que se atribuye la responsabilidad del ataque de Brian Krebs. Anteriormente en Twitter, señaló en broma o en serio un hecho obvio sobre los programas de cifrado maliciosos con raíces de habla rusa: evitan un sistema con un diseño cirílico.
La localización también se señaló en el informe de Kaspersky Lab, pero en un contexto diferente: los organizadores de ataques de habla rusa intentan no trabajar con socios de habla inglesa, por temor a contraataques o filtración de información. Para una prueba de competencia lingüística, un ejemplo sugiere utilizar el folclore local.
- Un análisis de las características técnicas del malware utilizado por DarkSide en ataques anteriores.
- Información oficialmente no confirmada según la cual Colonial Pipeline pagó a los extorsionadores $ 5 millones. Se afirma que los organizadores del atentado perdieron el acceso a su infraestructura, así como a las carteras de cifrado.
- Análisis del movimiento de fondos en carteras Bitcoin, presuntamente pertenecientes a DarkSide.
Además de este incidente, "IB-life" continúa como de costumbre. El gran acontecimiento fue el estudio sobre vulnerabilidades en dispositivos y el propio protocolo Wi-Fi. La colección de ataques Fragattacks ( sitio del proyecto, discusión sobre Habré) explota vulnerabilidades que no dependen del tipo de cifrado (hasta WPA3), y pueden usarse para robar datos o redirigir al usuario a recursos maliciosos.
El investigador sueco Pontus Johnson encontró una vulnerabilidad en el concepto de máquina de Turing universal , propuesto en 1967 ( artículo The Register, artículo de investigación ). En este ejercicio puramente teórico, se encontró una forma de ejecutar código arbitrario. Razón: Falta de validación de entrada.
Se propone un método para transferir datos arbitrarios y recibir información de dispositivos basados en iOS y MacOS. La vulnerabilidad del protocolo Bluetooth y las funciones de la tecnología Find My se utilizan para encontrar dispositivos perdidos.
MSI advierte sobre sitios falsos que distribuyen malware bajo la apariencia de la popular utilidad de overclocking Afterburner.