Globedia.com

×
×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×
cross

Suscribete para recibir las noticias más relevantes

×
Recibir alertas

¿Quieres recibir una notificación por email cada vez que Dacaze escriba una noticia?

Extorsión - Cibercriminales monetizan la exposición en línea

17/01/2020 08:09 0 Comentarios Lectura: ( palabras)

No hace mucho, la extorsión en línea involucraba a los chantajistas que enviaban correos electrónicos amenazadores a sus víctimas, prometiendo filtrar información comprometida

No hace mucho, la extorsión en línea involucraba a los chantajistas que enviaban correos electrónicos amenazadores a sus víctimas, prometiendo filtrar información comprometida. Otros extorsionadores intentaron advertir a las víctimas de un inminente ataque cibernético, como un intento de denegación de servicio (DoS) si es que no se cumplían las demandas de rescate, esto sucedía a principios de la década de 2010.

El ransomware surgió como un método viable de coerción, que culminó en el ataque "WannaCry" de 2017, que paralizó operaciones comerciales en más de 100 países, aunque estas técnicas siguen siendo populares, se ha descubierto que los cibercriminales han diversificado sus métodos de extorsión, por ello si observamos algunas de las actividades de extorsión más significativas en 2018, podemos ver que el panorama de amenazas es tan amplio y variado en esta línea de tiempo: 

  • 21FEB18, Sam Sam - Variante de ransomware activo desde 2015 - ataca diversos sistemas del Departamento de Transporte del Estado de Colorado, USA.
  • 22MAR18, Sam Sam ataca diferentes organizaciones de Atlanta, USA
  • 12JUL18, Reporte del primer ataque de correos electrónicos sobre sextorsión
  • 24JUL18, Sam Sam ataca los sistemas de LabCorp, empresa líder mundial en diagnósticos de atención médica, USA y a nivel mundial.
  • 20AGO18, Reporte del ataque del ransomware Initial Ryuk
  • 18SET18, El extorsionista denominado “The Dark Overlord”, aparece en el Foro de KickAss
  • 13OCT18, Reporte de ataque del ransomware Initial Ryuk a los sistemas de la autoridad del manejo del agua en North Carolina, USA.
  • 24NOV18, “The Dark Overlord” amenaza a empresas navieras, USA
  • 29NOV18, Indicios de ataque de Sam Sam a diferentes organizaciones en USA.
  • 04DIC18, “The Dark Overlord” intenta extorsionar a organizaciones inmobiliarias, Barbados
  • 13DIC18, Reportes de amenaza de correos electrónicos bomba.
  • 18DIC18, Reportes de amenazas por parte de sicarios a través de cuentas de correo electrónico.
  • 29DIC18, Ransomware Initial Ryuk, interrumpe la producción de periódicos, USA
  • ENE19, “The Dark Overlord”  inicia ataque a las empresas involucradas en el litigio del 9/11,   USA

Algunos ciberdelincuentes han experimentado con diferentes plataformas (web normal, deep y dark web) como una forma de recolectar sus exigencias de extorsión. Con el ransomware, vimos varias variantes de código malicioso que explotó las vulnerabilidades en diferentes servidores a nivel mundial y sustrajeron credenciales de administradores para auto propagarse e interrumpir redes enteras, lo que significa que sus operadores podrían exigir rescates significativamente altos.

Cuando se trata de extorsión, los actores de amenazas necesitan algo valioso para poder realizar su ataque y las víctimas son obligadas a pagar. Esto podría ser detalles de la vida privada, información confidencial o, en algunos casos el control total de la red de una organización.

La adquisición de esta información o acceso privilegiado nunca ha sido tan fácil. A medida que las empresas irrumpen en la transformación digital, y nuevos servicios se unen a la economía digital, se está volviendo cada vez más difícil gestionar los datos y activos digitales. Los ciberdelincuentes reconocen esto y han desarrollado formas de beneficiarse de la exposición en línea a través de ataques basados en la extorsión, y se aprovechan de ello a través de:

  • Credenciales comprometidas

Los atacantes utilizan credenciales sustraídas y fácilmente disponibles, para realizar campañas de extorsión masiva y convencer a las víctimas para que surta efecto los pedidos que realizan.

 

  • Datos sensibles

No solo se extorsiona directamente, los ciberdelincuentes han dedicado secciones en los foros en línea para vender datos confidenciales,   corporativos,   documentos y propiedad intelectual.

 

  • Vulnerabilidades técnicas.

Los atacantes pueden realizar un escaneo activo y pasivo para identificar vulnerabilidades explotables en aplicaciones orientadas a internet. Ellos pueden luego implementar variantes de ransomware que no solo interrumpan el negocio y dañar la reputación, también exigir tasas de rescate considerables para cesar dichos ataques.

Los extorsionadores han desarrollado formas de beneficiarse de las credenciales fácilmente disponibles. Las campañas de correo electrónico buscan extorsionar a las víctimas amenazando con avergonzarlas públicamente por participar en un acto sexual explícito. Afirman tener evidencia y usan contraseñas previamente expuestas. Estos correos electrónicos han venido propagándose de forma intermitente desde finales de 2017, pero la escala y la persistencia de las campañas se incremento en 2018. Entre JUL18 y FEB19, se han recopilado y analizado muestras de correos electrónicos de extorsión en grandes cantidades.

En el último año, los correos electrónicos de extorsión han amenazado con daños físicos y la liberación de contenido sexualmente explícito y han seguido un patrón similar: el extorsionador proporciona al usuario una contraseña, luego afirma tener imágenes de video de la víctima viendo contenido para adultos en línea, y finalmente les insta a pagar un rescate a una dirección específica de Bitcoin (BTC).

Las campañas son claramente coordinadas, con correos electrónicos enviados desde Outlook. En algunos casos, la parte local de la dirección de correo electrónico del remitente (local-part@domain.com) es generada aleatoriamente, como estos correos electrónicos no aparecen en infracciones públicas anteriores, los atacantes pueden haber creado direcciones para estas campañas en lugar de confiar en el uso de cuentas comprometidas para la distribución de correo electrónico.

Estas campañas también son operaciones verdaderamente globales, con servidores basados ​​en al menos cinco continentes. De acuerdo a la información de ubicación de IP del remitente, la mayor proporción de correos electrónicos en la línea de tiempo fueron enviados desde Vietnam (8.5%), seguido por Brasil (5, 3%) y la India (4, 7%). Si bien esto nos puede dar alguna indicación de dónde son los atacantes, muchos de estos también podrían ser casos en los que los servidores de correo electrónico han sido comprometidos y utilizados para campañas de spam.

Si bien las técnicas de extorsión se diversifican y el mercado es más accesible que nunca, lo estamos facilitando con nuestra exposición en línea. Como hemos visto, los extorsionadores aprovechan millones de credenciales comprometidas que circulan en foros, sitios especiales y canales públicos. Mientras tanto la superficie de ataque puede quedar abierta de par en par por no actualizar vulnerabilidades conocidas y explotables públicamente en las aplicaciones orientadas a internet.

Teniendo en consideración que las acciones para minimizar los riesgos ante estos ataques cuyo objetivo son las personas u organizaciones públicas o privadas, se debe tomar conciencia que si se tiene el control no seremos víctimas de un intento de extorsión, por ello para reducir sus riesgos, comencemos por enfocarnos en identificar y minimizar los riesgos de exposición:

TENER EL CONTROL DE LOS ACCESOS

  • Habilitar la autenticación multifactor, cuando sea posible, para ayudar a prevenir la toma de cuentas y minimizar el riesgo, incluso si la contraseña se filtra públicamente.
  • Usar contraseñas seguras generadas desde un administrador de contraseñas
  • No reutilizar las contraseñas, especialmente para cuentas privilegiadas.
  • Utilizar contraseñas de administrador local únicas. Aunque requiere mucho tiempo de implementación, productos tales como solución de contraseña de administrador local puede ayudar a administrar la cuenta local
  • Utilizar servicios para comprobar si sus credenciales, cuentas o correos se han filtrado públicamente.

COMBATIR LA PÉRDIDA DE DATOS

  • Realizar copias de seguridad periódicas de los datos en caso de pérdida catastrófica, y almacenar los archivos confidenciales en un lugar separado del almacenamiento de la red principal. De manera crítica, no olvide probar periódicamente los procesos de respaldo y recuperación. El momento equivocado para identificar fallas en la estrategia de recuperación de desastres es después de que todos los datos críticos hayan sido cifrado
  • Proteger los datos importantes, solo otorgando acceso a aquellos que tienen un requisito para ello. practicar el principio de privilegio mínimo, reduciendo el número de usuarios que tienen acceso a datos importantes.
  • Asegurar de que las soluciones de almacenamiento en la nube y los servicios para compartir archivos, estén configurados correctamente para evitar la exposición accidental de archivos.
  • Ser consciente y ofrecer capacitación sobre los riesgos que plantean los empleados que realizan copias de seguridad de los archivos en dispositivos de almacenamiento conectado a la red. Los usuarios deben agregar una contraseña, así como optar que los dispositivos estén protegidos de forma predeterminada. Idealmente, ofrecer soluciones de respaldo para los empleados y que no sientan la necesidad de hacer una copia de seguridad de sus dispositivos en casa.

MINIMIZAR LA SUPERFICIE DE ATAQUE

  • Realizar el proceso de supervisión constante de los protocolos o funciones que se requieren explícitamente para que un sistema pueda funcionar. Deshabilitar todas las demás funciones heredadas o innecesarias para fortalecer el sistema contra ataques.
  • Crear un inventario de software y servicios conectados a Internet para priorizar actualizaciones
  •  Aplicar las actualizaciones de manera oportuna para reducir el número de vulnerabilidades explotables en el software instalado como parte de un programa continuo de evaluación de vulnerabilidades.
  • Las soluciones de acceso remoto que sean accesibles deben ser solo a través de una VPN. Usar las listas de control de acceso para restringir qué rangos de direcciones IP pueden conectarse al servicio
  • Prevenir y filtrar agresivamente los accesos a los recursos en la red.

MANEJO DE LOS CORREOS DE EXTORSIÓN

  • Estas estafas son generalmente campañas masivas y oportunistas que se basan en una lista de objetivos lo suficientemente grande como para que los operadores puedan continuar recibiendo pagos.
  • Los usuarios deben ignorar estos correos electrónicos, pero también deben estar atentos e inspeccionar su bandeja de entrada más cercanamente.
  • Estar atento a las señales indicadoras de que está siendo blanco de una campaña de estafa masiva.
  • Si los mensajes llegan a su bandeja de entrada corporativa, hablar con sus equipos de TI, para que pueden reevaluar los controles de filtrado de correo electrónico.
  • Medidas de seguridad adicionales, como políticas del remitente,   autenticación de mensajes basadas en dominio, y correo con llaves de identificación de dominio se pueden usar para combatir los intentos de falsificación de correos electrónicos, que son comúnmente utilizados por los spammers.

MEDIDAS ADICIONALES

  • Dado que existe una importante superposición entre la vida personal y la organización, se  debe de informar permanentemente al personal sobre las últimas novedades a través de los Departamento de TI o los que hagan sus veces.
  • Realizar campañas masivas de capacitación e información sobre este tipo de delitos que suceden a través del internet y del ciberespacio y del cual todos pueden ser víctimas.

David Carhuamaca Zereceda – Ingeniero en Estadística e Informática – Especialista en Ciberseguridad - Investigador


Sobre esta noticia

Autor:
Dacaze (9 noticias)
Visitas:
4840
Tipo:
Opinión
Licencia:
Distribución gratuita
¿Problemas con esta noticia?
×
Denunciar esta noticia por

Denunciar

Comentarios

Aún no hay comentarios en esta noticia.