La industria del delito cibernético le costó al mundo tres billones de dólares en 2015 y
se prevé que crezca a seis billones para 2021. Todos los costos se evalúan en un complejo; por ejemplo, en un ataque con el codificador, consideramos no solo la cantidad del rescate, sino también los costos de reducir la productividad, el posterior fortalecimiento de las medidas de seguridad, el daño a la imagen y no solo.
El cibercrimen como servicio no
es algo fundamentalmente nuevo. Los desarrolladores de malware ofrecen productos o infraestructura en el mercado negro. Pero, ¿qué venden exactamente y cuánto cuesta? Buscamos en varios sitios de darknet para encontrar respuestas a estas preguntas.
Ransomware como servicio
Hay muchos paquetes de ransomware disponibles en darknet. Actualizaciones, soporte técnico, acceso a servidores C y C, planes de tarifas: todo es como el software "blanco", con la excepción de la prohibición legislativa.
Figura 1. Ranion ransomware disponible en darknetComo parte de uno de los paquetes, se ofrece el ransomware Ranion, que está disponible por suscripción durante un mes y un año. Hay varios planes de tarifas, la tarifa mínima comienza en $ 120 por mes. Paquete premium: $ 900 por año o $ 1900 si el cliente desea agregar funciones adicionales al archivo ejecutable del programa.
Figura 2. Opciones de suscripción a Cybercriminal RanionEs posible otro esquema de pago: los ciberdelincuentes proporcionan malware o acceso a la infraestructura de C&C de forma gratuita, y luego toman parte de los fondos recibidos de las víctimas.
Cualquiera que sea la estrategia aplicada, vemos que el inquilino realiza más operaciones con el Malware. Necesita entregar el programa al dispositivo de la víctima, por ejemplo, a través de correo no deseado o acceso a servidores vulnerables a
través de RDP .
Venta de acceso al servidor
En la darknet, puede encontrar servicios que ofrecen credenciales para acceder a los servidores a través del protocolo RDP. El precio está en el rango de $ 8-15 por servidor, se pueden ordenar por país, sistema operativo, incluso según los sitios de pago que los usuarios visitaron desde estos servidores.
Figura 3. Venta de acceso al servidor en Colombia a través de RDPEn la imagen de arriba, un filtro por 250 servidores disponibles ubicados en Colombia. Para cada servidor, se proporciona información detallada, que se puede ver en la siguiente imagen.
Figura 4. Descripción del acceso al servidor al que se vende en la darknetDespués de comprar el acceso, un ciberdelincuente puede usarlo para iniciar un programa de ransomware o instalar más malware secreto, un troyano o spyware.
Alquiler de infraestructura
Algunos operadores de botnets arriendan su potencia informática para enviar spam o ataques DDoS.
El costo de tales ataques varía dependiendo de la duración (en el rango de 1 a 24 horas) y de cuánto tráfico puede generar la botnet en este momento. En la figura a continuación, una variante con un ataque de tres horas por $ 60.
Figura 5. Ejemplo de una oferta de alquiler para un ataque DDoSAlgunos ofrecen alquilar sus botnets (generalmente pequeñas) para ataques a servidores de juegos en línea, como Fortnite. A menudo venden cuentas robadas. Las redes sociales se utilizan para promover los "servicios", los propietarios de cuentas no están particularmente preocupados por el anonimato.
Figura 6. Ofertas de alquiler de botnet en Instagram
Figura 7. Los usuarios de YouTube demuestran ataques DDoS en servidores FortniteVenta de cuentas de PayPal y tarjetas de crédito
Los operadores de ataques de phishing exitosos a menudo no corren el riesgo de usar sus cuentas robadas por su cuenta. Es más seguro y más rentable revender presas a otros cibercriminales. Como se puede ver en la tabla a continuación, toman alrededor del 10% de los fondos en una cuenta comprometida.
Figura 8. Venta de cuentas de PayPal y tarjetas de créditoAlgunos vendedores muestran orgullosamente sitios falsos y otras herramientas de phishing.
Figura 9. Descripción del proceso paso a pasoEn una presentación en
Segurinfo 2018, el evangelista de ESET Tony Enscomb señaló que la industria de desarrollo de malware ahora se parece a una compañía de software. El software, los productos y los servicios ofrecidos por los ciberdelincuentes utilizan con éxito esquemas prestados de ventas y distribución "legales".
La darknet tiene una industria completa con ventas, marketing, servicio postventa, lanzamiento de actualizaciones de software y manuales. Hay muchos compradores nacionales en el ecosistema, y el beneficio principal es para los grandes jugadores con la red y variedad de infraestructura más desarrollada. Como resultado del desarrollo de la "industria", existe una mayor disponibilidad de malware, combinado con su complicación tecnológica.