Índice de temas
Ransomware
Cuando hablamos de ransomware a menudo tendemos a fijar nuestra atención en el cifrado de información que sufren las compañías cuando un ciberdelincuente trata de extorsionarlas. Sin embargo, hasta llegar a ese punto hay una serie de pasos que arrancan con un elemento clave de todo el proceso: el acceso no autorizado a los sistemas de información.
Ecosistema de actores de un ransomware
En el mundo de la ciberdelincuencia, el ransomware se ha convertido en la principal amenaza de cualquier sector. Se trata de un entorno en que participan grupos reducidos, pero perfectamente identificado, de actores que responden a un método de trabajo, a modo de cadena de suministros, muy estructurado.
El cobro del rescate a través de criptomonedas es el procedimiento habitual, aprovechando el anonimato de sus transacciones y la dificultad que implica su seguimiento
JUANJO GALÁN, ALL4SEC
Por un lado, están los propietarios del ransomware, aquellos que desarrollan aplicaciones capaces de cifrar la información de cualquier fichero utilizando algoritmos robustos de claves pública-privada con los que se reservan las llaves para descifrar los datos cuando la víctima accede a pagar el rescate.
En torno a esas aplicaciones, estos ciberdelincuentes articulan todo un conjunto de servicios dirigidos a facilitar su uso por terceras partes interesadas. Habitualmente se trata de actores con menor —a menudo nula— capacidad de desarrollo de software. Para ellos conforman una infraestructura que se conoce como RaaS, Ransomware as a Service, que permite planificar acciones de cifrado de información, gestionar el estado de la negociación con las víctimas e incluso tramitar, llegado el caso el pago de los rescates. Algo así, como un entorno amigable con el que cometer los delitos.
De este modo, los proveedores u operadores RaaS ofrecen “su producto” a “sus clientes” que se conocen como afiliados.
Los afiliados son ciberdelincuentes que, a través de acuerdos con los desarrolladores, utilizan los servicios de las plataformas RaaS y se encargan de completar el ataque a sus víctimas solicitando el pago de los rescates que normalmente comparten con los operadores en una relación aproximada de 70-30.
Obviamente, para ello necesitan al menos dos elementos adicionales: la identificación de las víctimas y la entidad colaboradora donde depositar y posteriormente recuperar, el rescate solicitado.
Contar con proveedores solventes y de confianza se convierte pues en una condición indispensable para esta parte de la “cadena de valor”. El cobro del rescate a través de criptomonedas es el procedimiento habitual, aprovechando el anonimato de sus transacciones y la dificultad que implica su seguimiento. Por otro lado, conseguir víctimas propicias es la tarea que se encomienda a los conocidos como IAB.
¿Qué es un IAB?
Se llama IAB —Initial Access Broker— a aquellos ciberdelincuentes que proporcionan el acceso inicial a la red corporativa de una organización. A menudo se trata de actores que analizan la infraestructura de sus víctimas y detectan, entre otras cosas, vulnerabilidades en los productos que utilizan para conseguir acceder con ciertos privilegios a los recursos internos de una organización.
Al leer esta definición, a alguno le vendrá a mente la idea de programadores de amplios conocimientos; lobos solitarios que indagan en foros, redes y aplicaciones buscando cómo alterar el funcionamiento de una aplicación en beneficio propio. Sin embargo, no son los únicos a los que se les puede clasificar como IAB. También existe otro tipo de actores, menos técnicos, que utilizan, por ejemplo, la ingeniería social para conseguir ese deseado acceso. Incluso, actores imprevistos como empleados descontentos de las compañías dispuestos a ofrecer claves de acceso a recursos de sus empleadores a cambio de una buena cantidad de dinero. En general, estamos hablando de cualquier persona que disponga de la capacidad y la intención de conceder acceso no autorizado a los recursos informáticos de una organización.
El mercado de los IAB
Ahora bien, ¿cómo contactan los afiliados de las plataformas RaaS con los IAB? Pues igual que lo haría un profesional de cualquier sector con sus clientes: a través un Market Place.
Obviamente, estos market places se encuentran en entornos muy controlados dentro de la Dark Web y son accesibles bajo estrictas condiciones de reputación. Ejemplos de este tipo de mercados son Russian Market, Genesis Store, y 2easy Shop. En ellos, los conocidos como IAB ofrecen sus “productos”, es decir, el acceso a los recursos de una compañía, a través de anuncios en los que detallan (sin dar el nombre) aspectos como el tamaño, el sector, la facturación, el modo de acceso, los privilegios o las medidas de seguridad que tiene desplegada la potencial víctima.
El modelo de oferta suele hacerse a modo de subasta en la que se fija un precio de partida, un salto para nuevas ofertas y un periodo de apertura y cierre.
Los interesados en estos productos normalmente presentan su oferta a través de la plataforma, aunque es más habitual que inicien negociaciones por otros canales privados debido a la desconfianza que se genera en este tipo de entornos.
Los clientes van desde grupos de ciberdelincuentes que están interesados en utilizar a la víctima como punto de partida para dar el salto a otra víctima o simplemente afiliados a servicios RaaS necesitados (debido a la propia presión de los operadores) de víctimas para completar, de forma inmediata y exitosa, un ataque de ransomware.
Habitualmente los “productos” ofrecidos por los IAB suelen centrarse en accesos RDP, claves VPN, Web-Shell o incluso Paneles de Control de operadores MSP (uno de los más valorados por los afiliados). En función del nivel de privilegios que el IAB ofrezca mayor será lo que estos subasteros estarán dispuestos a pagar.
Según algunos estudios, los precios oscilan entre los 1.000 y 7.000 mil dólares, aunque cuando se trata de empresas pequeñas, existen IAB que llegan a ofrecer sus “productos” por apenas 20 o 100 dólares. De cualquier forma, el precio de partida es muy dependiente de la credibilidad del ofertante (algo que siempre están bajo sospecha), y la posibilidad de rentabilizar la “inversión” del adquiriente. Solo a modo de ejemplo, no hace demasiado tiempo, un actor IAB publicó en uno de estos market place un “producto” que teóricamente permitía acceder al Banco Central de un país no identificado y con ello no solo a completar ataques de ransomware sino también a realizar transferencias monetarias indetectables. El precio de salida del “producto” fue de 500.000 dólares.
En el método puede estar la debilidad
Como hemos visto, la existencia de un ecosistema de ransomware perfectamente definido donde los actores y los pasos están bien identificados permite convertir el mercado de la ciberdelincuencia en un entorno accesible para casi cualquier tipo de delincuente. Sin embargo, al mismo tiempo, este método de trabajo tiene sus riesgos: convierte a sus usuarios en objetivos del engaño o el seguimiento.
Los market places y los foros de debate pueden ser objeto de vigilancia cara a anticipar cualquier ciberataque que esté siendo planificado. Multitud de IAB, afiliados y demás tipos de ciberdelincuentes se mezclan habitualmente con profesionales de compañías de ciber-vigilancia y miembros de los cuerpos de seguridad del estado que participan del juego de la oferta y el engaño.
Al final, un simple comentario o una referencia inoportuna puede dar al traste con toda una organización criminal si es identificada por la persona adecuada. Así, por ejemplo, fue posible desactivar los servicios de ransomware Hive, cuya infraestructura fue localizada por miembros del FBI y de EUROPOL; o con Conti, cuyo código fuente fue publicado (posiblemente a modo de venganza) justo al inicio de la guerra de Ucrania.
También los casos de IAB identificados son numerosos. Su seguimiento permite que en muchas ocasiones sean capturados después de tratar de monetizar sus ganancias, incluso utilizando criptomonedas con las que intentan blanquear sus ingresos.
Pese a todo, no resulta una tarea sencilla. Los cuerpos de seguridad del estado necesitan de una buena dosis de trabajo y paciencia, además de cooperación internacional.
Al final, todo es cuestión de mantenerse alerta, moverse dentro de su ecosistema y saber esperar el momento adecuado. Y los IAB son clave en todo este proceso.