Ransomware como servicio y la extraña economía de la Dark Web

Iniciado por AXCESS, Marzo 27, 2024, 04:57:43 PM

Tema anterior - Siguiente tema

maiman y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El ransomware está cambiando rápidamente. En los últimos tres meses se han producido acontecimientos espectaculares en el ecosistema de ransomware, que incluyen la eliminación del blog de ransomware de LockBit, la salida de BlackCat del ecosistema y el surgimiento de varios grupos de ransomware más pequeños.

Este artículo tiene como objetivo proporcionar contexto para las noticias recientes. Primero, cubriremos cómo trabajan juntos los grupos y afiliados de ransomware. Luego nos sumergiremos en la competencia de los afiliados, una fuerza impulsora clave para el ecosistema, cómo está cambiando el ransomware en 2024 y lo que podría venir a continuación.

Grupos y afiliados de ransomware: una cadena de suministro compleja

A medida que el ecosistema del cibercrimen ha crecido, también se ha vuelto más complejo, con muchos actores diferentes que desempeñan tramos individuales de una cadena de suministro compleja.

Vale la pena detenerse un momento para explicar cómo funciona el ecosistema de ransomware. El ransomware como servicio (RaaS) se ha convertido en el modelo de negocio dominante entre los grandes grupos de ransomware.

En este modelo, los grupos de RaaS se centran en desarrollar nuevos códigos de ransomware y atraer afiliados. Los afiliados de ransomware trabajan con el grupo más amplio para comprometer la infraestructura de TI y distribuir ransomware; luego, el proveedor de RaaS suele negociar el rescate en sí.

Este modelo funciona bien tanto para los operadores como para los afiliados, y es utilizado tanto por LockBit como por BlackCat, los dos grupos más grandes que por sí solos representaron una pluralidad de ataques de ransomware en 2023.

Darles a los afiliados el arduo trabajo de ejecutar ataques exitosos permite a los grupos escalar mucho más rápido y comprometer a muchas más víctimas de lo que sería posible de otra manera, al mismo tiempo que les permite continuar innovando en su código de ransomware.

Los propios afiliados dependen de otras cadenas de suministro para llevar a cabo ataques de forma eficaz. En muchos casos, vemos afiliados que obtienen acceso de otro tipo de actor de amenazas de la Dark Web: el corredor de acceso inicial (IAB).

Competencia de afiliados entre grupos

Competir por los mejores afiliados es un negocio difícil y complejo. Los grupos de ransomware como servicio se enfrentan al mismo dilema que una empresa legítima: necesitan afiliados para que el modelo funcione y tienen que competir en precio y calidad para atraer a los mejores afiliados.

Esto ha dado lugar a un ecosistema altamente competitivo, en el que los grupos de ransomware más grandes intentan ofrecer a los afiliados potenciales una mayor proporción de rescates exitosos y menos restricciones que otros grupos como una forma de ganarse a los afiliados más sofisticados. De hecho, LockBit incluso compra acceso privilegiado a entornos de TI corporativos de otros actores de amenazas para distribuirlo a sus afiliados, aunque esto reduce sustancialmente el retorno potencial de LockBit.

¿Por qué está cambiando el ecosistema del ransomware?

En los últimos cuatro meses se ha visto un cambio dramático en el panorama. El primer blog de rescate de BlackCat se eliminó en diciembre de 2023. Esto llevó a BlackCat a crear un nuevo blog y anunciar que estaban aumentando la proporción de rescates pagados a los afiliados al 90%, un aumento sustancial que probablemente reflejaba inseguridad sobre su capacidad para retener a los principales afiliados.

A esto le siguió la eliminación del blog de LockBit en febrero de 2024. Vale la pena señalar que, si bien la infraestructura se vio comprometida, los propios grupos siguen prófugos. La capacidad de las fuerzas del orden para detener por completo las operaciones de estos grupos es limitada; sin embargo, las eliminaciones tienen efectos sustanciales en el ecosistema de afiliados.

Ser un grupo grande tiene ventajas e inconvenientes. Los afiliados quieren trabajar con grupos establecidos que tengan un buen código de ransomware y parezcan estables. Dado que el grupo RaaS normalmente paga los rescates por el éxito, trabajar con un grupo inestable es muy arriesgado.

Sin embargo, los grandes grupos también se convierten en blancos masivos de las acciones policiales. Al acabar con LockBit y BlackCat, las autoridades han reducido la confianza en los afiliados de ambos grupos.

La reducción de la confianza de los afiliados es probablemente una de las razones por las que BlackCat está saliendo del ecosistema de ransomware después de supuestamente negarse a pagar a un afiliado un rescate exitoso de 22 millones de dólares contra una importante entidad de atención médica de EE. UU.
 
La reputación lo es todo en el cibercrimen

Los grupos de ransomware se basan en la reputación; En el mundo del cibercrimen, la confianza es inexistente y las estafas son increíblemente comunes.

Los grupos de ransomware que quieran tener afiliados talentosos con profundas habilidades técnicas deben generar y ganarse la confianza con el tiempo y asociar esa confianza con su "marca".

Los grupos de ransomware necesitan un aura de invulnerabilidad para hacer negocios con éxito. Para los afiliados, una eliminación representa la amenaza existencial de que las autoridades puedan obtener suficiente información para identificarlos personalmente.

Del mismo modo, si las víctimas del grupo creen que las fuerzas del orden pueden comprometer la infraestructura y proporcionar claves de descifrado, se desincentivan en gran medida a pagar, lo que desincentiva aún más a los afiliados a trabajar con ese grupo.

¿Hacia dónde se dirigen las cosas?

Es probable que el ransomware no desaparezca pronto, pero sí esperamos cambios sustanciales en el ecosistema.
Derribar la infraestructura de ransomware ciertamente causa una interrupción temporal en los grupos afectados, pero no afecta permanentemente a un ecosistema impulsado por cientos o miles de afiliados.

Si la historia sirve de guía, es posible que veamos una fragmentación del ecosistema de ransomware.

En 2022, las fuerzas del orden eliminaron Raid Forums, lo que dio lugar a que aparecieran muchos nuevos foros más pequeños de la dark web a medida que los usuarios que huían formaban sus propias comunidades.

El impacto repentino causado por la salida de BlackCat y la caída de LockBit puede resultar en un fenómeno similar en el ecosistema de ransomware, ya que los afiliados pierden la confianza en grandes grupos y optan por administrar sus propias organizaciones más pequeñas.

¿Qué implicaciones tiene esto para la seguridad corporativa?

En el corto plazo, la amenaza del ransomware puede disminuir un poco a medida que el ecosistema cambie hacia un nuevo paradigma.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta