Ciberdelincuencia de habla rusa: ¿Qué ha cambiado en los últimos años?

Entender cómo operan y cómo evolucionan los ciberdelincuentes en cuanto a tácticas, técnicas y procedimientos es muy importante para todos los usuarios y ayuda a las empresas a prepararse mejor a la hora de protegerse frente a futuros ataques. Por este motivo, los expertos del Departamento de Investigación de Incidentes Informáticos de Kaspersky han analizado los principales cambios que han tenido lugar en los últimos seis años y han detectado varios cambios.

Por ejemplo, han dejado de ser habituales los denominados ataques del lado del cliente, en los que las víctimas eran infectadas masivamente con malware a través de los agujeros de seguridad de los navegadores para robarles dinero. Hace varios años, este vector de infección era utilizado a menudo por las bandas de ciberdelincuentes de habla rusa para infectar a objetivos relevantes entre las organizaciones comerciales y financieras (normalmente empleados de contabilidad). Desde entonces, los desarrolladores de navegadores y de otras tecnologías web han hecho un notable esfuerzo en mejorar la seguridad de sus productos e implementar actualizaciones automáticas de los sistemas. De esta manera, ahora es difícil para los delincuentes llevar a cabo de forma eficiente un ataque. En su lugar, utilizan correos electrónicos de spear phishing, que atraen a sus objetivos para que abran archivos adjuntos maliciosos capaces de explotar la vulnerabilidad de algún software popular que no haya sido parcheado.

El otro cambio importante es que, a diferencia de hace varios años, los ciberdelincuentes ya no tienden a desarrollar su propio malware, sino que utilizan software de pruebas de penetración y de acceso remoto de dominio público. Las empresas pueden utilizar estas herramientas con fines legítimos y por eso el software de seguridad no las detecta automáticamente como maliciosas. Esto es lo que esperan los delincuentes al utilizar dichas herramientas. El uso de herramientas de pentesting también les permite ahorrar muchos recursos en el desarrollo.

Entre los cambios importantes detectados en los delincuentes destaca:

• Utilizan activamente la infraestructura de la nube pública en lugar de construir y dar soporte a la propia.
• Ya no necesitan asociarse en grandes grupos criminales. El hecho de no tener que crear sus propias herramientas, sumado al uso activo de la infraestructura en la nube, les permite llevar a cabo actividades maliciosas en grupos mucho más reducidos que antes.
• Han cambiado drásticamente sus objetivos, pasando de ataques contra organizaciones e instituciones financieras a ataques de ransomware y robo de datos. Además, un número considerablemente de ciberdelincuentes ya no trabaja en Rusia y los territorios de la CEI, sino que ataca objetivos en el extranjero.

“En 2016 nuestro principal objetivo eran los grandes ciberdelincuentes que se dirigían a las instituciones financieras, especialmente a los bancos. Grandes nombres como Lurk, Buhtrap, Metel, RTM, Fibbit y Carbanak aterrorizaban a bancos de toda Rusia y, en algunos casos, lo hacían a nivel internacional. Sin embargo, con nuestra ayuda, finalmente han caído o han acabado entre rejas. Otros ciberdelincuentes, como Cerberus, abandonaron el”juego“y compartieron su código fuente con el mundo. Hoy en día, las industrias atacadas no se limitan a las instituciones financieras y los grandes ataques como los que investigamos en el pasado, afortunadamente, ya no son posibles. Sin embargo, no podemos decir que haya menos ciberdelincuencia. El año pasado el total de incidentes que investigamos fue de unos 200. Este año aún no ha concluido, pero el recuento ya ronda los 300 y sigue avanzando. En esta situación, creemos que es extremadamente importante compartir información relevante sobre la actividad de la ciberdelincuencia con toda la comunidad de ciberseguridad, lo que hacemos con la ayuda de este informe”, afirma Ruslan Sabitov, experto en seguridad de Kaspersky.