Una de las formas más usadas por los delincuentes para ejercer la ciberinteligencia es tratar de apoderarse de datos corporativos y utilizarlos en su beneficio. La forma más sencilla para ello es comprarlos en tiendas automatizadas y dedicadas a vender credenciales. El Cybercrime Intelligence Center de KELA ha realizado un informe donde examina el alcance de distintos mercados que facilitan cientos de miles de credenciales robadas y cómo se monetizan dichos datos.
Cada vez dependemos más del correo electrónico, de ahí que las cuentas de correo empresariales son un gran objetivo para los ciberdelicuentes. Estos utilizan diversos medios para piratearlas, entre los que destacan:
- Cracking: utiliza ataques de fuerza bruta o de diccionario cuyo objetivo es desvelar las contraseñas de los usuarios.
- Ataque de fuerza bruta: emplea el método de prueba y error para adivinar el nombre de usuario
- Ataque de diccionario: utiliza una lista de palabras para descifrar un sistema de seguridad protegido por contraseña.
- Stealing: Método obtiene las credenciales directamente del usuario a través de malware o campañas de phishing.
- Stuffing: Los actores de amenazas utilizan datos filtrados de otras violaciones de datos para reutilizar credenciales que les permitan iniciar sesiones en otros servicios corporativos no relacionados. Intercambian bases de datos robadas y las utilizan para otro cibercrimen.
- Buying: Comprar bases de datos y utilizarlos para otros cibercrímenes.
KELA ha monitorizado los foros de delincuentes y se ha dado cuenta de que la demanda de accesos a correos electrónicos está en auge y de ahí el aumento de la cantidad de mercados que ofertan dichas bases de datos. Todo ello le ha llevado a centrarse en la manera en que los actores pueden robar o comprometer estos correos. Dichas bases de datos se venden regularmente en el mercado clandestino, desde una base de datos de correos corporativos, hasta correos gubernamentales o listas combinadas.
Mercados automatizados de ventas de credenciales
El sistema del cibercrimen ha evolucionado y con ello sus tiendas, KELA ha descubierto que esta evolución se centra en la servitización y automatización de las ventas.
Como resultado, florecerán los proveedores dedicados. Algunos como XLeet, Odin, Xmina y Lufix ofrecen webmails corporativos y facilitan la vida de los ciberdelincuentes, permitiéndoles comprar un gran número de correos electrónicos a un precio asequible, y luego dirigirse a decenas de víctimas. KELA recopila estos datos y permite identificar fácilmente el dispositivo y el nombre de usuario infectados.
Las proveedores tienen diseños similares, facilitándole el proceso de compra a los compradores, permitiéndoles clasificar y encontrar correos según características específicas, como un Marketplace tradicional.
También existen ciberdelincuentes de menor tamaño que ofrecen servicios similares, muchos de ellos tienen canales de Telegram con más de 1.000 suscriptores, donde publican actualizaciones de nuevos compradores y webmails añadidos.
Los actores que compran dichas credenciales las utilizan para múltiples tipos de ataques, desde phishing a BEC y ataques de malware entre los que cabe destacar:
- Phising: ataque que engaña a la víctima para que revele su información confidencial, como contraseñas y números de tarjetas de crédito. Existen varias herramientas y tutoriales disponibles en la comunidad cibercriminal, que facilitan aún más el proceso, además de diferentes servicios SMTP, servidores que se utilizan para enviar correos electrónicos a los destinatarios con un gran número de mensajes, utilizando el dominio de la víctima, lo que les hace parecer legítimo.
- Business Email Compromise (BEC): ataque que engaña a la víctima para que transfiera dinero a una cuenta o ubicación que el atacante controla. Un actor de BEC puede atacar a miles de empresas, causando pérdidas millonarias. Los mercados automatizados pueden facilitar la escalada de los ataques, permitiendo a los actores dirigirse a docenas de correos electrónicos corporativos
- Ataques de Malware: incluyen todo tipo de programas maliciosos, como ransomware, troyanos que roban información, spyware, etc.
Los resultados del informe demuestran que el vector del correo electrónico es el preferido por los ciberdelincuentes, que prefieren manipular el comportamiento humano con técnicas como BEC en lugar de las vulnerabilidades técnicas.
Para evitar estos ataques las organizaciones deben seguir tres recomendaciones básicas. Por una parte, formar y educar a empleados, clientes y proveedores; en segundo lugar, imponer un cambio periódico de contraseñas; y por último vigilar el panorama de la ciberdelincuencia para descubrir nuevas tendencias y amenazas.
KELA descubrió correos web corporativos comprometidos, proporcionando información en tiempo real sobre las actividades de los ciberdelincuentes, lo que permitió a las empresas identificar las cuentas comprometidas y prevenir los ciberataques proporcionando inteligencia en tiempo real sobre las actividades de los ciberdelincuentes.
KELA entiende la profunda necesidad de capacitación debido a las brechas de conocimiento a las que se enfrentan los equipos de seguridad con respecto a la inteligencia del cibercrimen. KELA ofrece talleres gratuitos de Detección de Amenazas del Cibercrimen a su comunidad de expertos en defensa.