Los llaneros solitarios del underground

Cuando hablamos de la delincuencia online, a menudo lo hacemos en términos de “crimen organizado” o de actividad altamente cualificada promovida por algún Estado. Tanto es así, de hecho, a cualquiera se le podría perdonar por pensar que los criminales online que actúan en solitario representan la parte más amateur en este negocio.

El informe del segundo trimestre de Trend Micro “Una corriente en aumento: nuevos ataques amenazan a las tecnologías públicas”, contiene interesantes conclusiones al respecto:

El underground, o mercado clandestino de herramientas de malware, vulnerabilidades, kits de exploit y cualquier otro aspecto criminal está completamente desarrollado. Las barreras de entrada al mercado han caído en los últimos años, los kits de herramientas tipificados están disponibles a bajo o ningún coste, el antiguo malware de alto valor como ZeuS casi se ha convertido en proyectos de código abierto, generando una variedad den versiones mejoradas o imitadores y herramientas básicas tales como keyloggers o registradores del sistema que se combinan causando un efecto devastador.

Tomemos por ejemplo los ataques Hawkeye que afectaron a pequeñas empresas a escala global, desde China a India, Europa y Estados Unidos. Un simple keylogger de 35 dólares, Hawkeye, se utilizó en un sofisticado fraude de “cambio de proveedor” por dos delincuentes nigerianos que trabajaban en solitario.

Del mismo modo “Frapstar,” un lobo solitario de Canadá y “LordFenix” de Brasil se beneficiaron de sus esfuerzos en solitario al vender información robada y malware bancario, respectivamente.

Este esfuerzo individual no se limita solo a estos delitos online más tradicionales. Los puntos de venta de malware han sido testigos durante casi 2 años de la innovación criminal y 2015 no ha sido la excepción. Los operadores más pequeños están invirtiendo tiempo y esfuerzo en la creación de nuevas herramientas como FighterPoS y MalumPoS y en recoger las recompensas ilegítimas valoradas en cientos de miles de dólares disparando en particular a industrias verticales, principalmente en EE.UU. Es sólo cuestión de tiempo que otros en la comunidad criminal utilicen el código fuente de estos proyectos en otros de efecto más amplio.

Quizá, un indicador de esto es el camino evolutivo del ransomware, en particular, de cripto-ransomware. Mientras las tasas de infección para las variantes modernas como CryptoWall o TorrentLocker parecen estar en una tendencia a la baja, esta se está convirtiendo en un aspecto firmemente arraigado de ataques regionalizados, con un amplios partners y una red de blanqueo de dinero. También están trabajando cada vez más mano a mano con otras partes del ecosistema de distribución de software criminal como FAREIT.

Estos nuevos cibercriminales en solitario o de tamaño pequeño no son necesariamente los vástagos de los grupos más grandes y establecidos, pero en muchos casos representan la próxima generación de aspirantes a criminales online. Una de las cosas que estos atacantes no han desarrollado plenamente todavía es un modelo OpSec efectivo, dejando pistas de sus identidades reales asociadas a sus esfuerzos criminales, como fue el caso de los adolescentes chinos detrás del ransomware para Android, ANDROIDOS_JIANMO.HAT.

Los cuerpos y fuerzas de seguridad de todo el mundo están trabajando cada vez de forma más eficiente, poniendo en común recursos e inteligencia y haciéndose cada vez más eficaces tanto en el incipiente como en el cierre de las operaciones online tipificadas. Todavía tenemos camino por recorrer, pero vamos en la dirección correcta. Como diría Liam Neeson… te encontraremos.