Las organizaciones cibercriminales trabajan igual que cualquier otro negocio: esto es lo que hacen cada día

Las organizaciones cibercriminales compiten entre ellas por clientes, pelean por los mejores gerentes de proyectos e incluso buscan líderes que tengan experiencia en posiciones como CEO para ayudarlos a mantenerse organizados en la tarea de robarle su dinero.

Investigadores de IBM y Google describieron cómo operan los grupos cibercriminales, y a menudo imitan el comportamiento de las compañías, incluso tal vez, de la que usted está trabajando.

“Podemos ver la disciplina que tienen, podemos ver que están activos durante el horario de oficinas, se toman los fines de semana libres, trabajan en los horarios regulares, se toman vacaciones” dijo Caleb Barlow, Jefe de Inteligencia de Amenazas de IBM Security.

“Varía por grupos. En crimen organizado, ciertamente hay un jefe, así como usted contrataría a un contratista doméstico. Esa persona no necesariamente realiza todo el trabajo. Ellos contratan a los subcontratistas, como el plomero o el electricista, así es típicamente como realizas el trabajo, contratas un montón de subcontratistas”.

Entender cuán maliciosa puede ser la estructura de negocios de los hackers es importante para que las compañías puedan comprender mejor contra qué están luchando, ya que la economía clandestina a menudo funciona en paralelo con la economía en general, dijo el especialista.
 
Ellos establecen y alcanzan metas trimestrales

Las organizaciones cibercriminales no son todas iguales, pero una estructura típica se ve de la siguiente manera: un líder, como un CEO, supervisa los objetivos más amplios de la organización. Éste ayuda a contratar y liderar a una serie de “project managers”, quienes ejecutan distintas partes de cada ataque cibernético, explica Chistopher Scott, quien lidera la respuesta a incidentes de seguridad como parte del negocio X-Force de IBM.

Si el objetivo del grupo es obtener dinero por medio de hackear una compañía y robar su información, una serie de “project managers” va a supervisar distintas funciones implicadas en el crimen según sus especializaciones.

Los especialistas en software malicioso pueden empezar comprando o ajustando un producto personalizado para robar el tipo exacto de información que el grupo necesita. Otro especialista puede trabajar para enviar emails fraudulentos para hacerle llegar el software malicioso a empresas seleccionadas. Una vez que el software es exitosamente entregado, un tercer especialista puede trabajar para expandir el acceso del grupo dentro de la empresa seleccionada, y buscar información específica que el grupo espera vender en el mercado negro.

IBM proporcionó una representación gráfica de cómo se ve una campaña real de piratería dirigida de 120 días contra una compañía de Fortune 500 desde el punto de vista del grupo criminal que la ejecuta.
En este caso, un ataque contra Fortune 500 intentó robar y destruir datos, los distintos colores representan, aproximadamente, los diferentes roles en el trabajo, explicó Scott.



A la izquierda del gráfico, los atacantes que se especializaron en comprometer redes corporativas, se abrieron camino en el negocio para obtener una posición. Otros “project managers” comprometieron varias cuentas de empleados por medio del robo de sus credenciales, y utilizaron esas cuentas para ejecutar distintas tareas en el esquema, para obtener acceso a áreas sensibles o para recopilar información.

Las brechas en la línea de tiempo representan períodos en los que los piratas informáticos dejaron de realizar algunas de sus actividades para no activar los sensores que la empresa utilizaba para detectar actividades criminales.

Al final del ciclo de 120 días, otros especialistas, representados en rojo, entraron para terminar el trabajo, utilizando distintos códigos malignos para destruir sus huellas, así como los datos de la compañía.
 
Ellos colaboran y compiten entre sí

Los grupos criminales no existen en un vacío. Ellos ofrecen lo que esencialmente son servicios B2B entre ellos y también piratean el progreso uno del otro, tal como en el mundo corporativo, explicó Juan Andrés Guerrero-Saade, quien lidera la investigación en Chronicle, la compañía Alphabet “Other Bet” centrada en ciberseguridad.

“Si soy un buen desarrollador, entonces voy a crear el ransomware y venderlo, o venderlo como un servicio”, exactamente como las compañías legítimas que ofrecen software-as-a-service, dijo Guerrero-Saade. “Entonces yo voy a mantener el malware y si encuentras víctimas y las infectas y las haces pagar, yo tomaré el 10% o el 20%”.

Algunos de estos proveedores de servicios han visto sus ganancias recortadas en los últimos años. En la primera mitad de esta década, se popularizó un tipo de software malicioso conocido como “banking trojans” el cual roba las credenciales de una persona para quitarle dinero de su cuenta bancaria. Los especialistas que ofrecían servicios de lavado de dinero estaban siendo altamente demandados. Esta demanda fue reducida en los años recientes a medida que el ransomware creció en popularidad y los criminales pudieron adquirir el dinero directamente.

“Esto creó una dinámica diferente. No necesitaba mulas de dinero, no enojó a los bancos, la gente que fue atacada no sabía a quién recurrir, así que se puso de moda”, dijo.

Los grupos criminales también tienen el trabajo de vendedores agresivos para desplazar a los competidores por medio de robarles el territorio, explicó Guerrero-Saade.

Esto es común entre especialistas que ofrecen ataques de Denegación de Servicio Distribuida (DDoS), la cual trabaja para abrumar la computadora de la víctima con tanta información que la apagan.

Algunos grupos criminales ofrecen la contratación de servicios DDoS, y estos servicios se basan en que cada grupo haya comprometido decenas o cientos de miles de computadoras. Estas computadoras hackeadas, funcionan juntas como una “red de bots” para lanzar el ataque DDoS.
Guerrero-Saade dijo que es común que un servicio DDoS contratado ataque solo computadoras previamente comprometidas por un competidor, y que luego tome esa “red de bots” para sus propios propósitos.

Los criminales con mayor cantidad de computadoras en su “red de bots” son más efectivos, explicó. De esta manera, los servicios DDoS para contratar pueden socavar a la competencia y decir “mira, tengo 100.000 computadoras mientras el solo tiene unas 20.000”.

Crecen demasiado y fracasan

Las compañías están mejorando en identificar las características de muchos de esos distintos tipos de estructura de negocios criminales, dijo Scott.

Sin embargo, muchas veces, éstas crecen tanto y tan organizadamente que se vuelven muy fáciles de identificar, y así, quedan fuera del negocio.

“Cuando estás tratando con este tipo de organizaciones más burocráticas, sus actividades son muy predecibles”, dijo. Un grupo llamado Dyre, quienes se especializaban en “banking trojans”, crecieron tanto en el 2015 que se convirtieron en uno de los más fáciles de detectar, agregó.

Comprender estas tendencias, es importante para las compañías que desean combatir cibercriminales, dijo Scott.

“Si estás persiguiendo un adversario en particular, puedes llegar a comprender las herramientas, técnicas y prácticas que usa. Las compañías no tienen fondos ilimitados, pero si conoces las tácticas, puedes realmente enfocarte en la inversión en seguridad”.

Acceda al artículo original por la CNBC aquí.

INFOTECH © 2020 Todos los derechos reservados. Diseño y desarrollo: PRO Internacional