El cibercrimen se está consolidando en plataformas de mensajería cifrada y modelos de IA generativa

Los actores de amenazas están consolidando su uso de plataformas de mensajería encriptada, intermediarios de acceso inicial y modelos generativos de IA, según el nuevo informe de la firma de seguridad Cybersixgill, "El Estado del Cibercrimen Subterráneo 2023". Este informe señala que esto está reduciendo las barreras de entrada al cibercrimen y "agilizando la weaponización y ejecución de los ataques de ransomware".

El cibercrimen se está consolidando en plataformas de mensajería cifrada y modelos de IA generativa - Seguridad | Imagen 1 Newsmatic

El estudio se basa en 10 millones de publicaciones en plataformas encriptadas y otros tipos de datos extraídos de la web profunda, oscura y clara. Brad Liggett, director de inteligencia de amenazas en América del Norte de Cybersixgill, definió estos términos:

  • Web clara: Cualquier sitio al que se puede acceder a través de un navegador normal sin necesidad de encriptación especial (por ejemplo, CNN.com, ESPN.com, WhiteHouse.gov).
  • Web profunda: Sitios que no están indexados por los motores de búsqueda o sitios que están cerrados y tienen acceso restringido.
  • Web oscura: Sitios a los que solo se puede acceder utilizando protocolos de encriptación como Tor (navegador de la red de cebolla), ZeroNet e I2P.

"Lo que estamos recopilando en los canales de estas plataformas son mensajes", dijo. "Similar a si estás en un grupo de chat con amigos/familiares, estos canales son grupos de chat en vivo".

Tor es popular entre los delincuentes por la misma razón: da a las personas atrapadas en regímenes represivos una forma de transmitir información al mundo exterior, dijo Daniel Thanos, vicepresidente y jefe de Arctic Wolf Labs.

"Debido a que es un sistema de enrutamiento federado y punto a punto, completamente encriptado, se pueden tener sitios web ocultos y a menos que conozcas la dirección, no podrás acceder", dijo. "Y la forma en que se enruta, es virtualmente imposible rastrear a alguien".

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel
Índice de Contenido
  1. Tras un aumento masivo en la mensajería por parte de los ciberdelincuentes, hubo una ligera disminución el año pasado
  2. De la web oscura a la web profunda: menos cebollas, más aplicaciones
  3. La facilidad de uso favorece a las plataformas de la web profunda
  4. Los ciberdelincuentes se congregan en estos canales de la web profunda
  5. Los intermediarios de acceso inicial son un negocio en auge
  6. Una mala higiene digital da a los actores de amenazas acceso a pagos más grandes

Tras un aumento masivo en la mensajería por parte de los ciberdelincuentes, hubo una ligera disminución el año pasado

Los ciberdelincuentes utilizan plataformas de mensajería encriptada para colaborar, comunicarse e intercambiar herramientas, datos robados y servicios, en parte porque ofrecen funcionalidades automatizadas que las convierten en una plataforma ideal para los ciberataques. Sin embargo, el estudio de Cybersixgill sugiere que el número de actores de amenazas está disminuyendo y concentrándose en un puñado de plataformas.

Entre 2019 y 2020, los datos recopilados por Cybersixgill reflejaron un aumento masivo en el uso de plataformas de mensajería encriptada, con el número total de elementos recopilados aumentando en un 730%. En el análisis de 2020-2021 de la empresa, este número aumentó en un 338%, y luego solo un 23% en 2022, alcanzando alrededor de 1.9 mil millones de elementos recopilados de plataformas de mensajería (Figura A).

El cibercrimen se está consolidando en plataformas de mensajería cifrada y modelos de IA generativa - Seguridad | Imagen 2 Newsmatic

Figura A

"Cuando se considera la actividad del flujo de trabajo, es más rápido y fácil navegar a través de los canales en las plataformas de mensajería en lugar de tener que iniciar sesión en varios foros y leer publicaciones, etc.", dijo Liggett.

De la web oscura a la web profunda: menos cebollas, más aplicaciones

En los sitios de cebolla de la web oscura, el número total de publicaciones y respuestas en los foros disminuyó un 13% entre 2021 y 2022, pasando de más de 91.7 millones a alrededor de 79.1 millones. Según el informe, el número de actores de amenazas que participan activamente en los principales foros también disminuyó ligeramente.

Cómo proteger tu computadora de los virus: métodos y consejos

Los 10 principales foros de cibercrimen tuvieron un promedio de 165,390 usuarios mensuales en 2021, lo que disminuyó en un 4% a 158,813 en 2022. Sin embargo, las publicaciones en esos 10 sitios aumentaron casi un 28%, lo que significa que los participantes en los foros se volvieron más activos.

El estudio afirmó que en el pasado, la mayoría de los actores de amenazas llevaban a cabo sus operaciones solo en la web oscura, mientras que en los últimos años ha habido una migración a plataformas de mensajería encriptada en la web profunda.

La facilidad de uso favorece a las plataformas de la web profunda

Los ciberdelincuentes prefieren las plataformas de la web profunda debido a su relativa facilidad de uso en comparación con Tor, que requiere habilidades técnicas. "En las plataformas de fácil acceso, chats y canales, los actores de amenazas colaboran y se comunican, intercambiando herramientas, datos robados y servicios en una red ilícita que opera en paralelo a su equivalente en la web oscura", dijo el estudio.

"Las personas tienden a comunicarse en tiempo real a través de estas plataformas", dijo Liggett. "Los foros y mercados en la web oscura son conocidos por no tener siempre un alto nivel de tiempo de actividad. A veces acaban cerrando después de un período de tiempo, o como hemos visto recientemente, han sido confiscados por las fuerzas del orden y las agencias gubernamentales", dijo, señalando que una de esas plataformas, RaidForums, fue cerrada en 2022 y BreachedForums hace solo un par de semanas (Figura B).

El cibercrimen se está consolidando en plataformas de mensajería cifrada y modelos de IA generativa - Seguridad | Imagen 3 Newsmatic

Figura B

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Los ciberdelincuentes se congregan en estos canales de la web profunda

Liggett dijo que Telegram es la plataforma de mensajería más popular entre los actores de amenazas. Otros, según él, incluyen:

  • Discord: es una plataforma de mensajería popular entre los jugadores.
  • ICQ: fue introducida por primera vez en la década de 1990 y adquirida por una empresa rusa en 2010.
  • QQ: es una plataforma de comunicación popular en China.
  • Wickr: es una unidad con sede en Nueva York de Amazon Web Services.
  • Signal: es un servicio gratuito y de código abierto, encriptado.
  • Tox: también es un sistema punto a punto de código abierto.

Los intermediarios de acceso inicial son un negocio en auge

El ecosistema de intermediarios de acceso inicial ha crecido, junto con los mercados oscuros como Genesis Market, que fue confiscado y cerrado por el FBI en una operación multinacional. Estos centros facilitan las transacciones entre los intermediarios de acceso inicial y los actores de amenazas que buscan credenciales, tokens, puntos finales comprometidos, logins corporativos, shell webs, cPanels u otros puntos de acceso a redes empresariales.

El estudio señaló dos categorías amplias de acceso a la venta en la web criminal subterránea:

  • Intermediarios de acceso inicial que subastan acceso a redes empresariales por cientos o miles de dólares.
  • Mercados mayoristas de acceso que venden acceso a puntos finales comprometidos por alrededor de $10.

Más de 4.5 millones de vectores de acceso se vendieron en 2021, seguidos de 10.3 millones en un solo mercado en 2022, reveló el estudio.

Thanos dijo que los intermediarios de acceso inicial determinan qué credenciales funcionarán en un determinado entorno y luego las venden en bloques.

"Le dicen a los operadores de ransomware: 'Mira, tenemos acceso a las organizaciones X, Y y Z, y creemos que pagarán entre X e Y dólares'. Y lo saben porque también realizan reconocimientos, conocen el negocio, saben el pago esperado por un ataque de ransomware", explicó. "Y todo lo que hacen es proporcionar las credenciales y llevarse una comisión".

Protege tus contraseñas con PAM: Tu aliado para la seguridad

Lo que proporcionan pueden ser contraseñas, claves de API, tokens, dijo Thanos, "o cualquier cosa que otorgue acceso. A veces solo saben que hay una cierta vulnerabilidad en el entorno y lo venden".

Una mala higiene digital da a los actores de amenazas acceso a pagos más grandes

Thanos señaló que muchas de las credenciales vendidas en la web oscura, aunque provienen de cuentas de consumidores individuales, pueden constituir puntos de acceso a organizaciones debido a la mala higiene digital: las personas utilizan la misma información de inicio de sesión para empresas que para cuentas personales, lo que permite el ingreso y el movimiento lateral a través de las organizaciones.

"A menudo utilizan las mismas contraseñas para su acceso corporativo, por lo que lamentablemente, el mundo personal y empresarial están entrelazados. Los delincuentes luego buscan en las redes sociales, como Linkedin, por ejemplo, para obtener nombres y luego aplican automatización para asociar nombres con ID y luego intentan usar la contraseña robada", dijo.

A menudo, esto se hace mediante el relleno de credenciales, donde se utilizan listas combinadas, que son archivos de texto combinados de nombres de usuario y contraseñas filtrados obtenidos de brechas anteriores, para tomar el control de cuentas en otras aplicaciones web o móviles a través de ataques de fuerza bruta.

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a El cibercrimen se está consolidando en plataformas de mensajería cifrada y modelos de IA generativa , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.