Editor Top
Si el crimen no paga, algunos ciberdelincuentes no lo sabrían. Un miembro de alto nivel en un equipo de ciberdelincuencia como Conti puede ganar aproximadamente US$1,1 millones al año, según un informe publicado el lunes por Tendencia Micro.
Dado que los grupos de ciberdelincuencia no presentan informes ante la SEC, el salario que gana un gran productor de dinero en una gran empresa criminal como Conti representa la mejor suposición de Trend Micro según la información filtrada sobre el grupo y sus ingresos estimados de $150 millones a $180 millón.
«Los hechos extraídos de las conversaciones filtradas pintan una imagen de la organización Conti que se parece mucho a un gran negocio legítimo», señalaron los investigadores de Trend Micro.
“Estos delincuentes parecen haber logrado construir una organización compleja con muchas capas de gestión y reglas y regulaciones internas que imitan a las de una corporación legítima”, agregaron.
El informe “Inside the Halls of a Cybercrime Business”, de David Sancho y Mayra Rosario Fuentes, se enfoca en los ingresos y la organización de tres grupos criminales distintos: uno pequeño (menos de $500,000 en ingresos anuales), uno mediano (hasta $50 millones) y uno grande (más de $50 millones).
El tamaño influye en la especialización
Como cualquier empresa, el tamaño influye en el grado de especialización que debe tener una organización delictiva, observó Eric Skinner, vicepresidente de estrategia de mercado de Trend Micro.
“Un pequeño grupo se especializará en un área, ya sea subcontratando otros aspectos de su operación o siendo proveedores de nicho para grupos más grandes”, dijo a TechNewsWorld.
“A medida que un grupo crece”, continuó, “pueden incorporar más habilidades de nicho internamente para reducir costos o tener más control de su cadena de suministro”.
“Las organizaciones criminales tienden a reflejar los negocios legales porque ambos están tratando de maximizar las ganancias”, agregó. “Una organización que no busca el lucro, digamos una organización idealista o terrorista, a menudo tendrá diferentes estructuras para reflejar sus diferentes objetivos”.
ANUNCIO
A medida que las organizaciones criminales crecen, enfrentan muchos de los mismos desafíos «comerciales» que las organizaciones legítimas, incluido el reclutamiento, la capacitación, el desarrollo de software, el desarrollo comercial y el marketing, señaló Sean McNee, vicepresidente de investigación y datos de especialistas en inteligencia de Internet. Herramientas de dominio en Seattle.
«Como tal», dijo a TechNewsWorld, «han adoptado muchas mejores prácticas y modelos comerciales para abordar los mismos problemas que enfrentan las organizaciones legítimas al gestionar estos desafíos».
Nuevo tipo de inicio
McNee dijo que el ecosistema del delito cibernético es un mercado libre competitivo que está madurando rápidamente.
“Las relaciones en esa economía permiten que las organizaciones exploren la especialización técnica, la afiliación eficiente y los modelos de ventas, y la capacidad de escalar de manera efectiva”, continuó. “Las operaciones de ciberdelincuencia podrían entonces verse en términos de nuevas empresas tecnológicas: capitalizar la velocidad, iteraciones rápidas para adaptarse al mercado de productos y forjar asociaciones comerciales”.
Las organizaciones criminales no son tan diferentes de las corporaciones con fines de lucro, sostuvo John Bambenek, principal cazador de amenazas en Netenrichuna empresa de operaciones de seguridad digital y TI en San José, California.
“Necesitan organizar personas y procesos para cumplir la misión de ganar dinero”, dijo a TechNewsWorld. “Simplemente están dispuestos a utilizar herramientas criminales para lograrlo”.
Los modelos comerciales tradicionales no solo tienen un historial comprobado de éxito, sino que también escalan bien, agregó Erich Kron, un defensor de la conciencia de seguridad en SaberBe4un proveedor de capacitación en concientización sobre seguridad en Clearwater, Fla.
“Al tratar con grupos de delincuentes, debe haber una clara delimitación de la autoridad, y se deben establecer controles y equilibrios para garantizar que estos delincuentes no roben a su propia organización de ciberdelincuencia”, dijo a TechNewsWorld. “La organización y una autoridad bien definida son clave para garantizar una operación sin problemas”.
El tamaño importa
El informe señaló que determinar el tamaño de una organización puede ser una información importante para la aplicación de la ley.
Explicó que conocer el tamaño de una organización criminal objetivo puede llevar a priorizar qué grupos perseguir sobre otros para lograr el máximo impacto.
“Además, tenga en cuenta que cuanto más grande es la organización, menos vulnerable puede ser a los arrestos, pero más propensa a la manipulación”, escribieron los investigadores.
ANUNCIO
«Las técnicas de recopilación de datos son vitales», continuaron, «si hay algo que nos han enseñado los chats de Conti filtrados, es que la divulgación de información puede ser mucho más poderosa para paralizar las operaciones de un grupo que los derribos de servidores».
“Una vez que se filtra información privada, la relación de confianza entre los miembros del grupo y sus socios externos puede erosionarse de manera irreversible”, agregaron. “En ese momento, restablecer la confianza es mucho más difícil que cambiar las direcciones IP o cambiar a un nuevo proveedor de Internet”.
Sacrificando a los Skels
Kron señaló, sin embargo, que las operaciones de delitos cibernéticos que están bien organizadas serán mucho más difíciles de penetrar y recopilar información para las fuerzas del orden.
“Pueden mantener más seguro al liderazgo de alto nivel al tener muchos niveles de culpabilidad debajo de ellos”, dijo. “Al igual que con las drogas callejeras, generalmente son los vendedores callejeros de bajo nivel los que son arrestados, mientras que los capos y los traficantes a gran escala están aislados”.
Trickbot y Conti fueron contratados en universidades técnicas y sitios de búsqueda de empleo legítimos, y es probable que esos reclutas no estuvieran al tanto del trabajo que estaban apoyando, agregó Andras Toth-Czifra, analista senior de Punto de inflamabilidaduna compañía global de inteligencia de amenazas.
“El arresto de un individuo puede no comprometer necesariamente a una organización, ya que los trabajadores de nivel inferior pueden no estar al tanto del trabajo que están apoyando”, dijo a TechNewsWorld. “Los analistas han observado que se emplean tácticas similares para reclutar mulas de dinero involuntarias”.
economía sumergida
Con una mayor organización y especialización, los grupos de delitos cibernéticos se están moviendo más rápido y con mayor eficacia durante cada etapa de un ataque, señaló Skinner.
“Si bien la mayoría de los ataques aún comienzan con phishing o explotación de activos vulnerables de Internet, estamos viendo un aumento en los ataques a la cadena de suministro”, agregó.
“Y”, continuó, “estamos viendo una evolución en las tácticas de extorsión, más allá del ransomware destructivo, con un mayor enfoque en la exfiltración de datos y las amenazas de divulgación pública de información confidencial”.
“Lo que estamos viendo es el desarrollo de una economía sumergida”, agregó McNee.
Señaló que las tendencias recientes se centran en la especialización y la división del trabajo dentro de los grupos a medida que obtienen los recursos que necesitan para hacer crecer y madurar sus empresas delictivas.
ANUNCIO
“La colaboración siempre ha sido un sello distintivo de muchos de estos grupos”, dijo. “Con la consolidación en ciertas organizaciones más grandes, ha crecido su capacidad para desarrollar ciertas capacidades internamente”.
“Con la proliferación del modelo de ransomware como servicio, la atención al cliente y la comercialización de su ‘éxito del cliente’ y el soporte también han crecido”, agregó.
Una de las cosas fascinantes de los ciberdelincuentes es la velocidad con la que adoptan tecnología de punta, observó Andrew Barratt, director gerente de soluciones e investigaciones de Fuego de carbónun proveedor de servicios de asesoramiento en ciberseguridad con sede en Westminster, Colorado.
“Hace un par de años, sabíamos que los delincuentes usaban IA y aprendizaje automático para procesar el lenguaje, todo antes de chatGPT, para imitar el lenguaje utilizado en los correos electrónicos utilizados por sus objetivos”.
“Son amigables con la nube, globalmente diversos y, en muchos casos, dispuestos a correr riesgos con la nueva tecnología porque los beneficios pueden ser muy altos”, agregó.
