Cibercrimen muta a nuevas formas de ataque y hasta compiten por reconocimiento
Sophos reveló que los concursos patrocinados por la comunidad criminal reflejan las tendencias de los delitos cibernéticos, como la desactivación de AV/EDR, el fraude con monedas virtuales y los marcos C2.
Sophos, líder mundial en innovación y prestación de ciberseguridad como servicio, descubrió cómo los concursos de investigación organizados por foros sobre ciberdelincuencia están ayudando a inspirar nuevos métodos de ataque y evasión de detección. Los concursos reflejan la conferencia de seguridad legítima «Call For Papers» y brindan a los ganadores considerables recompensas financieras y el reconocimiento de sus pares y también de empleos potenciales. Como se describe en el último informe de Sophos X-Ops, “¿Para ganar? Offensive Research Contests on Criminal Forums”, estos concursos están diseñados para impulsar la innovación y, cuando se analizan, las entradas brindan información invaluable sobre cómo los ciberdelincuentes intentan superar los obstáculos de seguridad.
A pesar de que las competencias en foros criminales son tradicionales desde hace mucho tiempo, han evolucionado a lo largo de los años. Los primeros concursos sobre delitos cibernéticos incluían cuestionarios de trivia, concursos de diseño gráfico y juegos de adivinanzas. Ahora los foros criminales invitan a los atacantes a «enviar» artículos sobre temas técnicos, completos con código fuente, videos y/o capturas de pantalla. Una vez enviado, todos los usuarios del foro están invitados a votar por el ganador del concurso. Sin embargo, la evaluación no es completamente transparente ya que los propietarios del foro y los patrocinadores del concurso tienen sus propios votos al respecto.
“El hecho de que los ciberdelincuentes estén organizando, participando e incluso patrocinando estos concursos sugiere que existe un objetivo comunitario para avanzar en sus tácticas y técnicas. Incluso hay evidencia que sugiere que estas competencias actúan como una herramienta para el reclutamiento entre grupos destacados de actores de amenazas”, dijo Christopher Budd, director de investigación de amenazas de Sophos. “Si bien nuestra investigación muestra un mayor enfoque en temas relacionados con la Web-3, como las monedas virtuales, los contratos inteligentes y las NFT, muchas de las propuestas ganadoras tuvieron un atractivo más amplio y podrían tener un uso práctico, incluso si no fueran particularmente novedosas. Esto puede reflejar las prioridades de la comunidad, pero podría indicar que los atacantes se guardan sus mejores investigaciones para sí mismos, ya que pueden beneficiarse más al utilizarlas en ataques del mundo real”.
Sophos X-Ops exploró dos concursos anuales destacados: uno organizado por el foro ruso sobre cibercrimen Exploit, que ofrece un fondo de premios total de 80.000 dólares al ganador de su concurso en 2021, y otro celebrado en el foro XSS, con un premio acumulado de 40.000 dólares en 2022. Durante varios años, miembros destacados de la comunidad cibercriminal han patrocinado estos eventos, incluidos All World Cards y Lockbit.
En los concursos más recientes, Exploit centró su competencia en torno a las monedas virtuales, mientras que XSS abrió su concurso a una variedad de temas, desde ingeniería social y vectores de ataque hasta propuestas de evasión y estafa. Muchas de las propuestas ganadoras se centraron en el abuso de herramientas legítimas como Cobalt Strike. Un finalista compartió un tutorial sobre cómo apuntar a las ofertas iniciales de monedas (ICO) para recaudar fondos para una nueva divisa y otro sobre la manipulación de tokens de privilegios para desactivar Windows Defender.
