CaaS, la nueva dimensión del cibercrimen

CaaS ofrece una nueva dimensión del cibercrimen, ya que está más organizado, automatizado y accesible para los criminales con conocimientos técnicos limitados.

Según Aditya K. Sood, director de seguridad en Blue Coat Systems, hoy en día los cibercriminales pueden desarrollar, promocionar y vender cualquier cosa, desde una red de bots a un navegador Exploit Pack o DDoS kits de herramientas de ataque. “En resumen, los ciberdelincuentes pueden obtener datos confidenciales, como números de tarjetas de crédito, nombres y direcciones, con sólo un par de clics y un pago”.

“De todas formas, el mercado CaaS no se define por un par de pequeños actores maliciosos, sino que es una red compleja y con una variada gama de organizaciones, todas enterradas dentro de Internet. Estas organizaciones se encuentran fuera del alcance de los índices de búsqueda y puntos de acceso frecuentes, haciéndolos invisibles para un usuario Web común; el verdadero cibercrimen”.

Sood: Iluminar la web profunda
Sood: Iluminar la web profunda

Según APWG, este tipo de manejos han crecido un 250% en 2016, aunque el phishing es sólo un ejemplo de cómo el crimeware ha alcanzado un tamaño sin precedentes durante este año.

Un mercado maduro

-En ese momento, los principales cortes eran para demostrar que los hackers podían entrar en los sistemas al aprovechar distintas vulnerabilidades. Pero cuando los cibercriminales comenzaron a pensar más en el dinero que en la fuerza del hacker, las cosas cambiaron.

Se necesitarían miles de páginas para relatar cada tipo de crimeware o cibercrimen a la venta, pero aquí están algunos de los productos más vendidos en 2016:

  • Las redes de bots o botnets de control: Un botnet es una red de computadoras que están infectados con un software malicioso que permite a los ciber delincuentes controlar los ordenadores sin el conocimiento de los usuarios. Empresarios subterráneos venden el acceso a estos ordenadores ya infectados que controlan, a menudo en grandes cantidades, por precios que van desde U$D 100 por mes (para alquilar la infraestructura) a U$D 7.000 para comprar un sistema completo.
  • Paquetes explotadores de navegador (BPE: Junto con un Botnet, los BPEs permiten a los compradores compartir ransomwares o softwares espías a gran escala. Al igual que cualquier sofisticada pieza de malware, BEP tienen módulos integrados para la ofuscación, listas negras, administración y optimización del tráfico. Para un paquete completo BEP, los vendedores pueden pedir de 3.000 a 7.000 dólares
  • Phishing Toolkits personalizados con Exploits armados: Para los hackers que desean dirigirse a un grupo específico, o sólo a usuarios inesperados, pueden pagar por un agente malicioso para establecer un protocolo de transferencia de correo simple (SMTP), página Web estafa o proporcionar listas de correo de alta calidad. Cada una de estas opciones puede costar entre $ 15 y 40. Otra oferta popular que combina bien con un conjunto de herramientas de ataque de phishing son los “documentos armados”. Estos archivos maliciosos se ven como un regular documentos de Microsoft Office (Word, XLS, PPT, etc.), aprovechando las vulnerabilidades inherentes en el paquete MS Office para descargar malware en el sistema del usuario final. El malware descargado puede ser ransomware, kit de herramientas de acceso remoto (RAT), etc., dependiendo de la elección y la exigencia del vendedor de crimeware. Hoy en día, Office exploits (PPT, WORD, XLS), CVE conocidos o Nth Day pueden costar entre 2.000 y 5.000 dólares.
  • Ransomware: Es una forma popular para que el cibercrimen o los piratas informáticos ganen dinero, ya que el software de ransomware llevará a cabo los objetivos del ordenador rehén hasta que paguen. Este software puede ser desarrollado en diversos grados de complejidad y como resultado se pueden ejecutar los costos de distribución. Por ejemplo, el precio de un archivo ejecutable Crypto Locker personalizable es de alrededor de $ 50, según una investigación realizada por TrendMicro, aunque los operadores ransomware tienden a aceptar una reducción del 10% de los beneficios obtenidos de los objetivos.

Los precios y las ofertas pueden variar, sobre todo cuando se ofrecen servicios personalizados y/o específicos. Por ejemplo, si un empleado descontento quiere apuntar contra una organización específica o un grupo de usuarios, podría comprar un ataque DDoS o un paquete explotador de navegador que un vendedor le ayudará a ejecutar. Esto traería un costo adicional, con un estimado entre 4000 y 7.000 dólares para un BEP. Es fácil imaginar cómo estas empresas pueden obtener un gran beneficio con sólo unas pocas transacciones.

Es difícil saber exactamente cuánto es el beneficio neto de este sistema subterráneo de negocios. Aunque mirando el mercado subterráneo de e-currency (dinero digital), está claro que la tendencia es hacia miles de millones de dólares. Todos los negocios subterráneos utilizan e-currency como un medio de intercambio, ya que es internacional, anónimo, irreversible, no regulada, conveniente para el lavado de dinero. En este sentido, las e-currency son internacionales ya que se almacenan en los bancos virtuales en todo el mundo y se pueden convertir en varias monedas nacionales.

¿Por qué el CaaS está creciendo?

CaaS ha florecido junto con el crecimiento de malware y otros softwares de Crimeware. Aparte de los factores tecnológicos que ayudan a crecer a la actividad cibernética maliciosa, las economías de mercado simple están apoyando a la industria.

La oferta y la demanda juegan un papel importante al bosquejar los precios del crimeware. De esta manera, el costo de los diferentes servicios de crimeware se ha incrementado recientemente debido a que varios de estos criminales fueron atrapados durante las operaciones de lucha contra la ciberdelincuencia, afectando el suministro de estos servicios. Si un proveedor de BEP se cae, el proveedor de otra BEP eleva los costos, y así aumenta los beneficios. El incremento en el precio anima a otros proveedores para entrar en el mercado, ya que observan un valor financiero claro, a menudo sobrepasando el riesgo.

Aunque el FBI se abre camino desmontando mercados subterráneos como Darkcode, los criminales cibernéticos se han vuelto mucho más proactivos en la realización de transacciones de Crimeware como un servicio. Canales de IRC y Jabber se están convirtiendo en los medios más populares de comunicación en Internet por sobre los foros. De esta manera, el seguimiento de los compradores y vendedores resulta más dificultoso.

Además, la amplia publicidad ya no se expone como antes, cuando los proveedores (o creadores) ponían anuncios explícitos de una manera distribuida. La publicidad del Crimeware como un Servicio se ha vuelto mucho más específica en su naturaleza, con foros dedicados y restringidos a lo que ellos anuncian. Esto ayuda a perpetuar CaaS en grupos subterráneos y a compradores y vendedores a ocultarse de las autoridades.

¿Podemos frenarlo?

Para empezar, las soluciones de seguridad o mecanismos que se están diseñando hoy deben permanecer a la altura de los nuevos métodos de ataque utilizados por los delincuentes cibernéticos en el Caas. Se requieren soluciones de detección y prevención robustas para localizar la producción de los servicios de software de actividades ilegales tales como infecciones, abuso de los servicios, filtración de datos y otros para que las operaciones no autorizadas pueden detenidas por adelantado sin alcanzar pérdidas económicas significativas. Entonces, en conjunto con el buen trabajo que el FBI está haciendo para fortalecer la aplicación de la ley contra los autores del delito, todo el mundo necesita ser instruido sobre las nuevas tendencias del cibercrimen, para poner de relieve la eficacia de los hábitos de navegación segura que puede reducir la exposición  de los usuarios a los ataques cibernéticos.

“Nuestra mejor esperanza es continuar iluminando la Web oscura y que se sepa que el CaaS existe”.

Mario Augusto Beroes Ríos

Periodista graduado en la UCV en la mención Audiovisual.