El estado de la dark web: Revelaciones desde el subsuelo

0
9

Últimamente, los actores de la dark web tienen una preocupación más: ser atrapados por la policía. El seguimiento de las actividades ilegales de la web oscura ha sido como el juego del gato y el ratón para las autoridades, pero usualmente terminan atrapando a sus adversarios y confiscan el dinero poco fiable. En la noche de las elecciones presidenciales de Estados Unidos del 2020, por ejemplo, los funcionarios del gobierno lograron vaciar una billetera de Bitcoin de mil millones de dólares, recuperando fondos vinculados a Silk Road, siete años después del cierre del mercado. Silk Road era un mercado clandestino popular que trataba bienes y servicios ilegales, como narcóticos, piratería informática y asesinato por encargo.

Estafas de cierre y salida de grupos ciberdelincuentes
Eventos como estos han obligado a los ciberdelincuentes a trazar nuevas estrategias, lo que a veces implica cerrar la tienda y cobrar antes de entrar en el radar de los federales. En octubre del 2020, el grupo de ransomware Maze, que ha vulnerado a cientos de empresas, incluidas Xerox, LG y Canon, cerró durante un período de seis semanas declarando que habían retirado sus actividades. Sin embargo, los expertos han sugerido que probablemente sea una fachada. Los operadores de ransomware a menudo cierran una operación para unirse a otra, en lugar de salir del negocio por completo.

«En los últimos años, la dark web ha cambiado drásticamente, de manera bastante orgánica, debido al uso cada vez mayor de foros y mercados anónimos por parte de las bandas delictivas organizadas, la mayor presencia de jóvenes aspirantes a delincuentes inspirados en YouTube y, naturalmente, la mayor presencia de fuerzas policiales y sus intentos de infiltrarse, romper el anonimato y acabar con esos grupos y servicios ocultos”, señala Mark Turnage, CEO de DarkOwl, un motor de búsqueda de la dark web.

La dark web se convierte en un canal de reclutamiento
Según Turnage, la dark web se ha convertido en un terreno intermedio donde los ciberdelincuentes interactúan mínimamente para cazar nuevos miembros para sus grupos. Luego, trasladan las comunicaciones a canales privados cifrados como Telegram, Jabber y WickR. «Los desarrolladores de malware y los delincuentes financieros confían poco en los mercados de la dark web para distribuir sus exploits y, en cambio, utilizan foros conocidos como black hat en la web profunda y la dark net para establecer su marca, desarrollar influencia en la comunidad y reclutar nuevos miembros”, explica Turnage. «Muchas organizaciones delictivas utilizan la dark web simplemente para investigar a los posibles afiliados, especialmente en la industria del ransomware como servicio, y sus [co-conspiradores]”.

Turnage señala que DarkOwl ha visto cómo los delincuentes con más conocimientos técnicos aumentan el uso de dark nets y meshnets descentralizadas alternativas como Lokinet e Yggdrasil. Él atribuye esto a la corta vida útil de los mercados y servicios de la dark web en Tor y las incautaciones de servidores por parte de las agencias policiales coordinadas a nivel mundial.

El traslado de los mercados de los nodos Tor a los servicios de mensajería privados también puede traer ventajas técnicas, como las protecciones distribuidas de denegación de servicio (DDoS). Estas salvaguardas técnicas pueden atraer a los administradores de la dark web, ya que los mercados clandestinos como Empire se han visto obligados a cerrar tras ataques DDoS por parte de otros ciberdelincuentes en intentos de extorsión bastante irónicos. La abrupta salida de Empire también ha anulado su garantía «escrow”, lo que ha llevado a algunos clientes a etiquetar el cierre como una «estafa de salida”.

Al cambiar a los usuarios a servicios legítimos de mensajería cifrada de extremo a extremo, los ciberdelincuentes aprovechan la infraestructura distribuida confiable de estas plataformas, permaneciendo discretos y evitando el escrutinio de las fuerzas policiales. Está garantizado que las plataformas de mensajería como Telegram pueden no ser completamente inmunes a los ataques DDoS; la protección contra dichos ataques se convierte en responsabilidad de los propietarios de la plataforma en lugar de las operaciones de la dark web.

Se aprovecha la charla subterránea para la recopilación de información
Según Raveed Laeb, gerente de producto de KELA, la dark web actual representa una amplia variedad de bienes y servicios. Aunque tradicionalmente se concentran en foros, las comunicaciones y transacciones de la dark web se han trasladado a diferentes medios, incluyendo las plataformas de mensajería instantánea, tiendas automatizadas y comunidades cerradas. Los actores de amenazas comparten información encubierta sobre redes comprometidas, datos robados, bases de datos filtradas y otros productos de delitos informáticos monetizables a través de estos medios.

«Los cambios del mercado se centran en la automatización y la servitización [modelos de suscripción], con el objetivo de ayudar al negocio de la ciberdelincuencia a crecer a escala”, señala Laeb. «Como se puede comprobar por el aumento exponencial de los ataques de ransomware que aprovechan el ecosistema financiero clandestino, los mercados de ciberdelincuentes a ciberdelincuentes, permiten a los actores crear sin problemas una cadena de suministro que respalda intrusiones descentralizadas y efectivas de ciberdelitos -otorgándoles a los atacantes una ventaja inherente”.

En el lado positivo, los profesionales de la seguridad y los analistas de amenazas pueden aprovechar esta información para identificar y corregir las debilidades del sistema antes de que los actores de amenazas puedan explotarlas. «Los defensores pueden sacar provecho de estos ecosistemas robustos y dinámicos, obteniendo visibilidad del funcionamiento interno del ecosistema subterráneo, lo que les permite rastrear las mismas vulnerabilidades, exposiciones y compromisos que serían aprovechados por los actores de amenazas, y remediarlos antes de que sean explotados”, explica Laeb.

Esto se puede hacer a través del monitoreo de foros y sitios de la dark web donde es más probable que los actores de amenazas acechen, discutan las amenazas futuras y pongan exploits a la venta. Por ejemplo, un hacker publicó recientemente exploits para más de 49 mil VPN Fortinet vulnerables en un foro, algunos de los cuales pertenecían a importantes empresas de telecomunicaciones, bancos y organizaciones gubernamentales. Esto fue seguido por una segunda publicación en el foro, en la que otro actor de amenazas expuso credenciales de texto sin formato de todos los dispositivos VPN para que cualquier adversario los explote. Aunque la vulnerabilidad en cuestión es un error de recorrido de ruta de dos años de antigüedad, que probablemente ya no esté en el radar de nadie, miles de VPNs corporativas presentes en la lista siguen siendo vulnerables a este problema crítico.

Aprovechar dichos foros y monitorear ese tipo de información, puede servirles a los equipos de seguridad de las organizaciones para que hagan su trabajo y averigüen hacia dónde se dirigirán los adversarios.

Seguimiento de actividades ilícitas disfrazadas de programas legítimos
Actualmente, los grupos de amenazas persistentes avanzadas (APT) están utilizando la dark web para recopilar conocimientos de sus objetivos, y luego usar protocolos y programas de red legítimos con fines de exfiltración encubierta de datos. «En el pasado, las organizaciones tendían a preocuparse solamente por la aparición de sus propios datos en la dark web, e incluso en ese entonces, solo sonaban las alarmas si se encontraran datos importantes. Sin embargo, muchos de los grupos de APT, respaldados por los Estados nación de China y Rusia, ahora están utilizando la dark web para realizar un reconocimiento de objetivos potenciales y luego proporcionar una cobertura para exfiltrar datos”, comenta Vince Warrington, CEO de Dark Intelligence.

«Desde principios del 2020, el uso de SSH por estos grupos APT ha aumentado en más del 200%. Nuestra investigación indicó que los grupos APT están usando SSH a través del puerto 22 para infiltrarse en las organizaciones sin ser notados y, una vez dentro, están usando sistemas mal monitoreados y mantenidos -especialmente sistemas de control industrial- para robar cantidades significativas de datos. Se alega que varios ataques recientes han robado más de un terabyte de datos de empresas individuales, una gran cantidad que las organizaciones no detectan porque no pueden monitorear de manera efectiva las conexiones de la dark web”, sostiene Warrington.

Este punto ha sido corroborado por el descubrimiento el mes pasado del ataque masivo a la cadena de suministro de SolarWinds, atribuido al grupo de espionaje ruso APT29, también conocido como Cozy Bear. Al explotar la confianza dentro de un programa legítimo como SolarWinds Orion y sus canales (o protocolos) de actualización seguros, atacantes sofisticados lograron violar silenciosamente a más de 18 mil de los 300 mil clientes de SolarWinds y permanecieron sin ser detectados durante meses. Las siniestras actividades que llevaron a cabo como parte de este ataque podrían haber involucrado vigilancia encubierta y exfiltración de datos sin dejar rastro obvio.

Esto es diferente de los casos en los que los actores de amenazas hacen ruido en foros públicos o de la dark web cuando filtran volcados de datos. Por lo tanto, monitorear solo la dark web en busca de signos de exfiltración de datos no es suficiente.

De esta manera, se alienta a los analistas de amenazas y los investigadores de seguridad a reevaluar sus estrategias de monitoreo. En lugar de centrarse únicamente en detectar anomalías dentro de las redes corporativas, como direcciones IP extranjeras y números de puerto impares; o esperar a que aparezcan datos de propiedad exclusiva en la dark web, vale la pena monitorear programas y servicios confiables, incluidas las actualizaciones de seguridad y las cadenas de suministro de software de su organización donde los actores de amenazas podrían estar escondidos sin ser notados.

Axe Sharma CSOonline.com