Ciberdelincuencia de habla rusa: ¿Qué ha cambiado en los últimos años?
Entender cómo operan y cómo evolucionan los ciberdelincuentes en cuanto a tácticas, técnicas y procedimientos es muy importante para todos los usuarios y ayuda a las empresas a prepararse mejor a la hora de protegerse frente a futuros ataques. Por este motivo, los expertos del Departamento de Investigación de Incidentes Informáticos de Kaspersky han analizado los principales cambios que han tenido lugar en los últimos seis años y han detectado varios cambios.
Por ejemplo, han dejado de ser habituales los denominados ataques del lado del cliente, en los que las víctimas eran infectadas masivamente con malware a través de los agujeros de seguridad de los navegadores para robarles dinero. Hace varios años, este vector de infección era utilizado a menudo por las bandas de ciberdelincuentes de habla rusa para infectar a objetivos relevantes entre las organizaciones comerciales y financieras (normalmente empleados de contabilidad). Desde entonces, los desarrolladores de navegadores y de otras tecnologías web han hecho un notable esfuerzo en mejorar la seguridad de sus productos e implementar actualizaciones automáticas de los sistemas. De esta manera, ahora es difícil para los delincuentes llevar a cabo de forma eficiente un ataque. En su lugar, utilizan correos electrónicos de spear phishing, que atraen a sus objetivos para que abran archivos adjuntos maliciosos capaces de explotar la vulnerabilidad de algún software popular que no haya sido parcheado.
El otro cambio importante es que, a diferencia de hace varios años, los ciberdelincuentes ya no tienden a desarrollar su propio malware, sino que utilizan software de pruebas de penetración y de acceso remoto de dominio público. Las empresas pueden utilizar estas herramientas con fines legítimos y por eso el software de seguridad no las detecta automáticamente como maliciosas. Esto es lo que esperan los delincuentes al utilizar dichas herramientas. El uso de herramientas de pentesting también les permite ahorrar muchos recursos en el desarrollo.
Entre los cambios importantes detectados en los delincuentes destaca:
- Utilizan activamente la infraestructura de la nube pública en lugar de construir y dar soporte a la propia.
- Ya no necesitan asociarse en grandes grupos criminales. El hecho de no tener que crear sus propias herramientas, sumado al uso activo de la infraestructura en la nube, les permite llevar a cabo actividades maliciosas en grupos mucho más reducidos que antes.
- Han cambiado drásticamente sus objetivos, pasando de ataques contra organizaciones e instituciones financieras a ataques de ransomware y robo de datos. Además, un número considerablemente de ciberdelincuentes ya no trabaja en Rusia y los territorios de la CEI, sino que ataca objetivos en el extranjero.