miércoles, 17 de agosto de 2016

Bitcoins invisibles para el ransomware como servicio

La industria del ransomware se ha posicionado como una de las más rentables para el cibercrimen, extorsionando a las víctimas con el pago del rescate de sus archivos, y amparándose en "la buena fe" entre ladrones.

Estos días Check Point Software Technologies ha publicado un informe en el que analiza el impacto económico y operativo de uno de los mayores ransomware-as-a-service (RaaS) en circulación, que utiliza una nueva variante del conocido ransomware Cerber, y que estaría arrojando a día de hoy alrededor de 2,5 millones de dólares de beneficios a sus creadores.

Con 161 campañas activas y en torno a 8 nuevas campañas lanzadas cada día, solo en el mes de Julio se estima que los criminales habrían obtenido unos 200.000 dólares que las víctimas han depositado en un entramado de cuentas bitcoin a razón de 1 bitcoin (unos 590 dólares) por ataque.

Pero lo que ha llamado la atención a los investigadores no es esto, sino el sistema de blanqueo de dinero que tienen montado.

Basado en una técnica llamada Bitcoin mixing, los cibercriminales se aseguran que los pagos se realicen de manera que sean prácticamente imposible tracearlos:

"Esta técnica permite al autor del ransomware transferir Bitcoin y recibir la misma cantidad de nuevo a una cartera que no puede ser asociada con el propietario original... El proceso mezcla el dinero entre los demás usuarios (una red de afiliados), utilizando para ello decenas de miles de carteras Bitcoin, lo que hace casi imposible realizar un seguimiento individual. Además, el usuario puede dividir el dinero entre varias carteras, lo que complica aún más el tracking".

La nueva versión de Cerber (Cerber 2), que lleva en activo desde Febrero de este mismo año, está ya siendo utilizada en varios exploit kits (Magnitude, RIG y Nuclear Pack), y han democratizado lo que según los expertos estaba anteriormente solo al alcance de las agencias de inteligencia.

"En el pasado, este tipo de ataques coordinados fueron obra de agentes del Estado. Ahora, las herramientas de ataque automatizadas y las redes de RaaS han puesto los ciberataques al alcance de las masas. Los afiliados pueden comprar, explotar y alquilar el ransomware sin necesitar ningún conocimiento técnico. Solo tienen acceso a una interfaz y pagan a alguien por los servicios prestados".

Y aquí radica el mayor problema, habida cuenta de que esa descentralización operativa está complicando aún más el trabajo de las fuerzas del orden.

Ahora quien ataca no es más que un intermediario. Y llegar hasta él no hace que los ataques terminen.

Además de este estudio sobre la operativa de la industria del RaaS, en los últimos siete días son reseñables los resultados de la campaña de spam del troyano bancario Panda elaborado por Proofpoint, así como el descubrimiento de un ransomware basado en PokemonGo.

0 comentarios:

Publicar un comentario