Seguridad

Para los engaños de los ciberdelincuentes, es la web oscura frente a la web profunda

0 0 5 minutos de lectura
A cybercriminal in a background representing the dark web.

Ciberdelincuentes representando la darknet de fondo.Imagen: oz/Adobe Stock

Los actores de amenazas están integrando su uso de plataformas de mensajería encriptada, proxies de acceso inicial y modelos generativos de IA, según un nuevo informe de la firma de seguridad Cybersixgill, The State of the Cybercrime Underground 2023. El informe afirma que esto está reduciendo las barreras de entrada para el delito cibernético y «simplificando el uso de armas y la ejecución de ataques de ransomware».

La investigación se basa en 10 millones de publicaciones en plataformas encriptadas y otros tipos de datos extraídos de la web profunda, oscura y clara. Brad Liggett, Director de Inteligencia de amenazas de América del Norte en Cybersixgill, define estos términos:

  • Borrar red: Cualquier sitio al que se pueda acceder a través de un navegador normal sin un cifrado especial (por ejemplo, CNN.com, ESPN.com, WhiteHouse.gov).
  • Red profunda: Sitios que no están indexados por los motores de búsqueda, o que están bloqueados y tienen acceso limitado.
  • Internet oscura: Sitios a los que solo se puede acceder mediante protocolos de tunelización encriptados como Tor (navegador The Onion Router), ZeroNet e I2P.

“Lo que recopilamos en los canales de estas plataformas es información”, dijo. «Estos canales son grupos de chat en tiempo real, como si estuvieras enviando mensajes de texto en grupo con amigos/familiares».

Tor es popular entre los delincuentes por la misma razón, dice Daniel Thanos, vicepresidente y director de Arctic Wolf Labs: brinda a las personas atrapadas en regímenes autoritarios una forma de acceder a la información del mundo exterior.

«Debido a que es un sistema de enrutamiento punto a punto federado, completamente encriptado, puede tener sitios web ocultos a los que no puede acceder a menos que sepa la dirección», dijo. «Y por la forma en que está enrutado, es casi imposible rastrear a alguien».

Salta a:

Tabla de Contenidos

Ligera caída el año pasado tras la noticia de un aumento masivo de ciberdelincuentes

Los ciberdelincuentes usan plataformas de mensajería encriptada para colaborar, comunicarse e intercambiar herramientas, datos y servicios robados, en parte porque la automatización que brindan los convierte en plataformas de lanzamiento ideales para los ataques cibernéticos. Sin embargo, la investigación de Cybersixgill muestra que la cantidad de actores de amenazas está disminuyendo y concentrándose en unas pocas plataformas.

Publicaciones relacionadas

Entre 2023 y 2023, los datos recopilados por Cybersixgill reflejan un aumento en el uso de plataformas de mensajería encriptada, con un aumento del 730 % en la cantidad total de elementos recopilados. En el análisis 2023-2023 de la compañía, este número creció un 338 %, y luego solo un 23 % en 2023, alcanzando aproximadamente 1.900 millones de elementos recopilados de las plataformas de mensajería (Figura A).

Figura A

Actividad de la plataforma de mensajería de 2019 a 2022.Actividad de la plataforma de mensajería de 2023 a 2023. Imagen: Cybersixgill

«Cuando se piensa en las actividades del flujo de trabajo, es más rápido y fácil buscar canales en una plataforma de mensajería que tener que iniciar sesión en varios foros, leer publicaciones, etc.», dijo Liggett.

De la web oscura a la web profunda: menos cebollas, más aplicaciones

Informes de seguridad de lectura obligada

Entre los sitios de Darknet Onion, el número total de publicaciones en foros y respuestas se reducirá un 13 % entre 2023 y 2023, de 91,7 millones a alrededor de 79,1 millones. La cantidad de actores de amenazas que participan activamente en los principales foros también disminuyó ligeramente, según el informe.

Los 10 foros de ciberdelincuencia más grandes tendrán un promedio de 165.390 usuarios mensuales en 2023, cayendo un 4% a 158.813 en 2023. Sin embargo, las publicaciones en estos 10 sitios aumentaron casi un 28 %, lo que significa que los participantes del foro se volvieron más activos.

En el pasado, la mayoría de los actores de amenazas operaban exclusivamente en la web oscura, pero en los últimos años han migrado a plataformas de mensajería encriptada de la web profunda, según el estudio.

La facilidad de uso beneficia a las plataformas web profundas

Los ciberdelincuentes prefieren las plataformas web profundas porque son más fáciles de usar que Tor, que requiere más habilidades técnicas. «Los actores de amenazas colaboran y se comunican, intercambian herramientas, datos robados y servicios a través de redes ilícitas que operan a la par con la red oscura a través de plataformas, chats y canales de fácil acceso», dijo el estudio.

“La gente tiende a comunicarse en tiempo real a través de estas plataformas”, dijo Liggett. «Los foros y los mercados en la web oscura son conocidos por no tener siempre un alto tiempo de actividad. A veces terminan desconectándose después de un tiempo o, como hemos visto recientemente, las fuerzas del orden y las agencias gubernamentales los cierran», dijo, señalando que una de esas plataformas, RaidForums, se cerró en 2023, mientras que BreachedForums lo hizo hace solo unas semanas (Figura B).

Figura B

Actividad de los actores de amenazas en los foros de ciberdelincuencia más importantes.Actividad de los actores de amenazas en los foros de ciberdelincuencia más importantes. Imagen: Cybersixgill

Los ciberdelincuentes acuden en masa a estos canales de la web profunda

Liggett dijo que Telegram es la plataforma de mensajería más popular para los actores de amenazas. Otros, dijo, incluyen:

  • Desarmonía es la plataforma de mensajería favorita de los jugadores.
  • ICQ Lanzado por primera vez en la década de 1990, fue adquirido por una empresa rusa en 2010.
  • qq Es una plataforma de comunicación popular en China.
  • Vic es una división de Amazon Web Services con sede en Nueva York.
  • Señal es un servicio gratuito, de código abierto y encriptado.
  • toxina También un FOSS, sistema peer-to-peer.

El negocio de los intermediarios de acceso inicial está en auge

Ha crecido un ecosistema de corredores de acceso inicial, junto con mercados oscuros como Genesis Market, que fue incautado y cerrado por el FBI en una operación encubierta transnacional. Estos centros facilitan las transacciones entre la IAB y los actores de amenazas que buscan credenciales, tokens, puntos finales comprometidos, inicios de sesión corporativos, shells web, cPanels u otros puntos de acceso robados a redes corporativas.

El estudio identificó dos amplias categorías de mercado para el clandestino ciberdelincuente:

  • El IAB subasta el acceso a la red corporativa por cientos o miles de dólares.
  • Los mercados de acceso mayorista venden acceso a puntos finales comprometidos por alrededor de $10.

El estudio reveló que se vendieron más de 4,5 millones de operadores de acceso en 2023, seguidos de 10,3 millones en el mercado único en 2023.

Thanos dijo que el IAB identificará qué certificados son válidos en un entorno particular y luego los venderá a granel.

«Les dicen a los operadores de ransomware: ‘Miren, tenemos acceso a organizaciones X, Y y Z, y creemos que van a pagar X e Y dólares’. Y lo saben, porque también hacen reconocimiento, para que entiendan el negocio: conocen el resultado esperado de un ataque de ransomware», explicó. «Y todo lo que hacen es proporcionar un cupón y tomar una parte».

Lo que ofrecen podría ser una contraseña, una clave API, un token, dijo Thanos, «o cualquier cosa que te otorgue acceso. A veces, solo porque saben que hay algún tipo de vulnerabilidad en el entorno, lo venden».

La mala higiene digital paga a los actores de amenazas mayores beneficios

Thanos señaló que muchas de las credenciales a la venta en la web oscura, aunque provienen de cuentas de consumidores individuales, podrían constituir puntos de acceso para las organizaciones debido a la mala higiene digital: las personas usan los mismos inicios de sesión comerciales que sus cuentas personales, lo que permite el movimiento lateral hacia y a través de las organizaciones. .

«A menudo usan las mismas contraseñas para el acceso corporativo, por lo que, lamentablemente, el mundo personal y el mundo corporativo están entrelazados. Luego, los malos van a las redes sociales, como Linkedin, para obtener nombres, aplicar la automatización para hacer coincidir los nombres con las identificaciones y luego la contraseña. intento de robo».

Esto a menudo se hace a través del relleno de credenciales, donde una lista combinada es un archivo de texto combinado de nombres de usuario y contraseñas comprometidos obtenidos de infracciones anteriores y se utiliza para tomar el control de cuentas en otras aplicaciones web o móviles a través de ataques de fuerza bruta.

LEER  Los 5 mejores consejos para usar un administrador de contraseñas
0 0 5 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba