Los kits de ciberataques se venden en la Dark Web desde 39...

Los kits de ciberataques se venden en la Dark Web desde 39 dólares

0 294 views
  • También se ofrecen en bitcoins y hasta de manera gratuita si un porcentaje de las ganancias se queda en manos de los desarrolladores
  • Los creadores dirigen sus negocios como empresas legítimas y ofrecen tutoriales y foros para facilitar la infección de dispositivos con ransomware
  • Sophos ha realizado una investigación en la que ha profundizado en la Dark Web para analizar cómo los cibercriminales crean y comercializan estos kits
  • Para prevenir ataques de ransomware es recomendable usar soluciones de ciberseguridad que utilicen Deep Learning, como Sophos Intercept X

Sophos ha detectado que los kits de distribución de ataques ransomware, aquellos que paralizaron a millones de empresas en 2017 y que tuvieron como sus principales exponentes a Wannacry o Petya, son vendidos a través de la Dark Web a precios bastante asequibles (desde 39 euros) y en un formato fácil de usar para cualquier persona con pocas habilidades o conocimientos técnicos.

Estos kits de distribución, conocidos en el mundo de la ciberseguridad como Ransomware as a Service (RaaS), han contribuido a que el azote del ransomware a nivel global haya empeorado en los últimos años no solo porque son asequibles a nivel económico y funcional, sino porque su medición y detección son complicados.

Detrás de estos kits, se desarrolla un negocio que funciona como cualquier empresa legitima que comercializa productos y servicios, ofreciendo con ellos videos tutoriales o foros de ayuda que facilitan el uso de los kits y así promover la mayor eficacia a la hora de infectar equipos. Además, los kits se pueden personalizar dependiendo de la necesidad del comprador.

En la Dark Web se pueden encontrar estos kits de ciberataques por el precio de 39 dólares, en bitcoins o de manera gratuita si el 30% de los ingresos totales obtenidos de la campaña de ransomware se queda en manos de los desarrolladores.

Por esta razón, Sophos ha realizado una investigación en la que ha profundizado en la Dark Web para localizar y analizar cómo los ciberdelincuentes crean y comercializan cinco de estos kits para RaaS. En ella, Dorka Palotay, investigadora de SophosLabs, ha analizado los kits más populares como son Philadelphia, Stampado, Frozr Locker, Satan y RaasBerry, y ha advertido que la cantidad de kits disponibles irá aumentando.

Philadelphia

Se trata de uno de los RaaS más sofisticados y conocidos del mercado, ya que tiene muchas opciones para personalizar, incluso precios especiales, y por solo 389 dólares uno puede obtener una licencia ilimitada completa. Sus creadores, Rainmakers Labs, dirigen su negocio de la misma manera que una empresa de software legítima lo haría para vender productos y servicios. Philadelphia se vende en la Dark Web acompañado de un vídeo introductorio en YouTube explicando los aspectos prácticos del kit y cómo personalizar el ransomware con una variedad de opciones y funciones.

Stampado

Antes de crear Philadelphia, Rainmakers Labs desarrollaron Stampado, un kit que salió a la venta en el verano de 2016 por el precio de 39 dólares. En base a los resultados obtenidos en este primer RaaS, a finales de 2016, los desarrolladores decidieron crear Philadelphia, mucho más sofisticado y que incorporó gran parte de la estructura de Stampado.

Frozr Locker

Los kits FileFrozr se ofrecen por el precio de 0,14 bitcoins y tiene como objetivo cifrar los archivos de las víctimas que son infectadas. Eso sí, para empezar a usar este kit de ransomware, en la página de Frozr Locker se advierte que las personas que quieran hacer uso de éste deben previamente adquirir una licencia para usar el generador. Sus creadores incluso ofrecen soporte online para que sus clientes hagan preguntas y poder resolver dudas u problemas.

Satan

Este servicio afirma generar una muestra de ransomware que funciona y que se puede descargar de manera gratuita. Entre las características que ofrece, permite que el usuario establezca el precio y condiciones de pago, así como el pago por el rescate de la información y las herramientas de desbloqueo de la información de las víctimas que deciden pagar y reembolsa al creador del ransomware el 70% de los ingresos totales obtenidos en la campaña a través de Bitcoin. Los creadores de Satan conservan el 30% de los ingresos totales de los rescates. Es decir que la tarifa por los servicios ofrecidos, fluctúa dependiendo del número de infecciones y pagos que el cliente pueda acumular.

En el momento de configurar un ataque de Satan, los clientes deben completar un formulario para configurar el esquema de pago, donde tienen que definir además del rescate, un periodo de días antes de que aumente el rescate y un valor por el que el rescate se multiplicará pasado el periodo establecido. Además, incluye un cuadro de captcha para asegurarse de que la persona que configura el ataque es real y no un ordenador o robot.

RaasBerry

SophosLabs detectó por primera vez este tipo de ransomware en julio de 2017. Se anunció en la Dark Web y, como la mayoría de ellos, permite al cliente personalizar sus ataques. Los pagos también se realizan en bitcoin a través de un correo electrónico que proporciona aquel que contrate este servicio. En este caso, el desarrollador se compromete a no participar de los beneficios del ataque.

Los clientes pueden elegir entre cinco paquetes o niveles diferentes de suscripción que varían desde la suscripción de un mes hasta una suscripción platinum de 3 años.

Consejos de Sophos en caso de ser víctima del ransomware.

Por ahora, la mejor manera para que las empresas y las personas combatan el problema es seguir estas medidas defensivas contra el ransomware en general:

  • Realizar copias de seguridad con regularidad y guardarlas en discos duros externos. Hay muchas maneras, a parte del ransomware, de que los archivos pueden desaparecer de forma repentina, como incendios, inundaciones, robos, un accidente o incluso por error podemos eliminar información.
  • No habilitar macros en documentos adjuntos recibidos por correo electrónico. Microsoft desactivó deliberadamente la ejecución automática de macros por defecto hace muchos años como medida de seguridad. Muchas infecciones de malware se basan en persuadir al usuario para que vuelva a activar las macros y así poder infectarlo.
  • Tener cuidado con los archivos adjuntos no solicitados. Los delincuentes confían en el dilema de que no se debe abrir un documento hasta que no está seguro de que es uno que se desea, pero es complicado decidirlo hasta que no se abre y se comprueba su contenido. En caso de duda, es mejor no abrirlo.
  • Es importante instalar los parches lo antes posible y a menudo. El malware que no llega a través de los macros de documentos adjuntos, accede a través de los errores de seguridad de aplicaciones populares, como Office, el navegador, Flash y otros programas. Cuanto antes actualice e instale parches en sus programas, menos brechas de seguridad estarán abiertas.
  • Para proteger una empresa u organización es recomendable usar Sophos Intercept X. Esta solución utiliza Advanced Deep Learning para detectar ciberamenazas y conseguir el más alto ratio de detección y la menor tasa de falsos positivos en el mercado de seguridad next-gen. Este nuevo sistema combina la mitigación de técnicas anti-hacking con el bloqueo avanzado de aplicaciones y mejora la protección contra el ransomware.
  • Sophos Home para Windows y Mac para ayudar a proteger a su familia y amigos, es gratuito.

B2B
gdata
Expo Chile 2017  700 x 110