El panorama del ransomware está más abarrotado de lo que cree



Imagen: ZDNet Ransomware-as-a-Service es un término de ciberseguridad que se refiere a bandas criminales que alquilan ransomware a otros grupos, ya sea a través de un portal dedicado o mediante hilos en foros de piratería. Los portales de RaaS funcionan proporcionando un código de ransomware listo para usar a otras bandas. Estas bandas, a menudo llamadas clientes o afiliados de RaaS, alquilan el código de ransomware, lo personalizan con las opciones proporcionadas por RaaS y luego lo implementan en ataques del mundo real mediante un método de su elección.
Estos métodos varían entre los afiliados de RaaS y pueden incluir ataques de suplantación de identidad (spear-phishing) por correo electrónico, campañas masivas de correo no deseado indiscriminado, el uso de credenciales de RDP comprometidas para obtener acceso a redes corporativas o el uso de vulnerabilidades en dispositivos de red para obtener acceso a la empresa interna. redes. Los pagos de estos incidentes, independientemente de cómo los afiliados lograron infectar a una víctima, van a la banda RaaS, que se queda con un pequeño porcentaje y luego reenvía el resto al afiliado. Las ofertas de RaaS existen desde 2017 y se han adoptado ampliamente, ya que permiten que bandas criminales no técnicas propaguen ransomware sin necesidad de saber cómo codificar y manejar conceptos avanzados de criptografía.
Según un informe publicado hoy por Intel 471, actualmente se anuncian alrededor de 25 ofertas de RaaS en la escena de la piratería clandestina. Si bien hay bandas de ransomware que operan sin alquilar su "producto" a otros grupos, la cantidad de portales RaaS disponibles en la actualidad supera con creces lo que muchos expertos en seguridad pensaban que podrían estar disponibles y muestra la plétora de opciones que las bandas criminales tienen a su disposición si alguna vez lo hacen. optar por mojar los dedos de los pies en el juego de ransomware. Pero no todas las ofertas de RaaS proporcionan las mismas características.
Intel 471 dice que ha estado rastreando estos servicios en tres niveles diferentes, dependiendo de la sofisticación, las características y el historial comprobado de RaaS. El nivel 1 es para las operaciones de ransomware más conocidas en la actualidad. Para ser clasificadas como RaaS de nivel 1, estas operaciones tenían que estar disponibles durante meses, probar la viabilidad de su código a través de una gran cantidad de ataques y continuar operando a pesar de la exposición pública.
Este nivel incluye jugadores como REvil, Netwalker, DopplePaymer, Egregor (Maze) y Ryuk. Con la excepción de Ryuk, todos los operadores de Nivel 1 también tienen "sitios de filtración" dedicados donde nombran y avergüenzan a las víctimas como parte de su bien engrasado cartel de extorsión. Estas pandillas también utilizan una amplia variedad de vectores de intrusión, cada uno dependiendo del tipo de afiliados que reclutan.
Pueden violar las redes explotando errores en los dispositivos de red (reclutando expertos en redes), pueden dejar caer su carga útil de ransomware en los sistemas que ya existen. infectados por otro malware (trabajando con otros cárteles de malware), o pueden obtener acceso a las redes de la empresa a través de conexiones RDP (trabajando con operadores o vendedores de botnets de fuerza bruta o credenciales RDP comprometidas). El Nivel 2 es para los portales RaaS que se han ganado una reputación en la piratería clandestina, brindan acceso a cepas avanzadas de ransomware, pero aún no han alcanzado la misma cantidad de afiliados y ataques que los operadores de Nivel 1. Esta lista incluye a Avaddon, Conti, Clop, DarkSide, Mespinoza (Pysa), RagnarLocker, Ranzy (Ako), SunCrypt y Thanos, y estos son efectivamente los prometedores del mundo del ransomware.
El nivel 3 es para portales RaaS recientemente lanzados o para ofertas RaaS sobre las cuales hay información limitada o no disponible. En algunos casos, no está claro si alguno de estos todavía está en funcionamiento o si sus autores se rindieron después de intentar y no lograr que sus portales despegaran. Esta lista incluye actualmente a personas como CVartek.
u45, Exorcist, Gothmog, Lolkek, Muchlove, Nemty, Rush, Wally, Xinof, Zeoticus y (llegada tardía) ZagreuS. Con todo, si bien el ecosistema clandestino de la ciberdelincuencia genera beneficios a través de la actividad delictiva, sigue siendo un mercado y, como todos los mercados, se rige por los mismos principios que rigen a cualquier otro mercado actual. Una gran cantidad de proveedores de servicios es el signo revelador de una economía en auge que está lejos de estar saturada.
La saturación del mercado RaaS solo ocurrirá cuando los delincuentes creen más portales RaaS de los que los grupos afiliados están dispuestos a suscribirse o cuando las empresas refuerzan sus medidas de seguridad, dificultando la intrusión y agotando las ganancias de los delincuentes. pag VER GALERIA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı