CyOps Lighthouse – Un vistazo a la Darknet: malware como servicio

CyOps Lighthouse – Un vistazo a la Darknet: malware como servicio – MaaS

jueves 28 julio, 2022

The Darknet es el hogar de muchos foros clandestinos de piratería. En estos foros, los ciberdelincuentes hablan libremente: comparten historias, tácticas, éxitos y fracasos.

Su conducta nos permite asomarnos a la política y la ética de esos grupos y actores, ya que hablan de actividades recientes.

CyOps Lighthouse tiene como objetivo arrojar luz sobre esos lugares oscuros. Además de los foros clandestinos, también proporcionaremos información sobre publicaciones de grupos de ransomware en curso y menciones valiosas del último mes.

Malware como servicios: MaaS

El malware existe desde hace mucho tiempo, con el primer troyano «Animal» visto alrededor de 1978. Desde entonces, muchas cosas han cambiado.

Si alguna vez el objetivo principal era simplemente infectar un host con su malware, hoy en día es más una herramienta para el siguiente objetivo, ya sea que el objetivo sea propagarse en una red como un gusano, robar credenciales o incluso lanzar otro malware. – su objetivo ha cambiado.

Algunos programas maliciosos como Trickbot se usan solo en «círculos internos» y no están disponibles para la venta al público.

Trickbot es solo una herramienta en el arsenal de sus operadores. La confirmación más sólida de esta noción también se puede ver en las filtraciones, ya que los operadores de Trickbot cerraron por completo sus servidores después de que el grupo Conti decidiera centrarse en el malware «BazarLoader».

Pero esos círculos internos son solo una fracción de los ataques que tienen lugar hoy. Entonces, ¿dónde y cómo obtienen acceso los actores de amenazas al malware?

Al igual que nuestros informes mensuales de ransomware, intentaremos arrojar más luz sobre el floreciente mercado de malware, centrándonos principalmente en:

Malware Clearnet: vendido en Telegram, Discord y foros públicos. Foros clandestinos: la mayor parte del malware actual se vende con este método. Círculos internos: similar al uso Trickbot por parte de Conti y otro actores de amenazas.

Software malicioso Clearnet

El malware a menudo se vende y usa en «Clearnet», lo que significa que no necesita tener acceso a un foro clandestino ni ser invitado a un mercado turbio. Este malware se vende en plataformas cotidianas como Telegram o en foros que no requieren tarifas de entrada o reputación de otros foros (común en el registro).

Se pueden ver ejemplos de esto en uno de los ladrones de información más comunes y notorios disponibles en la actualidad.

Ladrón de línea roja

Redline se puede comprar en foros o directamente a través de Telegram, los usuarios recibirán un ejecutable para ejecutar su campaña, el servicio se vende como suscripción y el usuario es responsable de la distribución:

En un informe reciente de Microsoft sobre la violación de LAPSUS, Microsoft mencionó que LAPSUS usó el ladrón Redline como vector de acceso inicial:

El equipo de Cyber Threat Intelligence (CTI) de CyOps ya ha cubierto Redline en el pasado, ve la úlaltima publicación aquí.

Aparte de Redline, el malware basado en suscripción es un método relativamente nuevo pero exitoso. Aquí hay otro ejemplo de un nuevo ladrón llamado canal de telegramas «Prynt Stealer Reborn»:

Otro malware se vende con este método, pero los ladrones de información son probablemente el mercado más grande en este momento.

Foros

Los foros de piratería son el principal punto de venta de MaaS, pero hay una diferencia de uno a otro, algunos están abiertos para todos, mientras que otros requerirán que verifique su reputación en otros foros importantes, o pague una suma entre 100 y 500 USD.

Debido al hecho de que algunos de los foros son públicos en línea y están alojados por empresas legítimas, la actividad en esos foros se considera un poco «moderada», las personas venden herramientas de estafa y phishing, ofrecen sus habilidades de codificación, pero las redes de bots y los ladrones son menos comunes en ellos.

Uno de los foros más conocidos fue Raidforums. Este foro tenía un mercado vívido y una de las comunidades de habla inglesa más grandes.

Según los informes, el dominio ha sido incautado por el FBI y la comunidad ahora busca alternativas.

Un ejemplo se puede ver en el foro «Breached» recién formado, que pretende tomar el lugar de Raidforums. Todavía es nuevo y no tan conocido como Raidforums.

Aquí hay un ejemplo para una sección en su mercado:

La mayor parte de la «magia» ocurre en foros clandestinos, que generalmente necesitan Tor para conectarse, y ese registro se revisa en función de la reputación del usuario o en un pago criptográfico entre 100 y 500 USD.

Se puede ver un ejemplo en XSS, un foro de habla rusa donde, además del ransomware, uno puede comprar casi cualquier necesidad relacionada con el cibercrimen.

Una nota sobre los foros de habla rusa: la concepción general es que mientras las actividades no estén dirigidas a Rusia, el gobierno (extraoficialmente) hará la vista gorda a estas actividades. Esta noción se ha fortalecido con los lazos vistos entre el grupo Conti y el FSB (el equivalente ruso del FBI) en las filtraciones de Conti vistas recientemente.

Esto ha llevado a un mercado próspero en esos foros, que es menos común en los de habla inglesa. Si bien hay muchos servicios disponibles, intentaremos centrarnos en el Malware.

XSS Marketplace ofrece una amplia variedad de malware, ladrones, cargadores, banqueros, botnets; todo se puede encontrar en el mercado:

Con todo lo que pueden ofrecer en los foros, ¿Cómo puede uno estar seguro de que realmente recibirá lo que pagó? La mayoría de los foros solicitarán al vendedor que emita un depósito para el foro antes de activar su servicio.

El depósito sirve como una forma de demostrar que el vendedor es fiel a sus intenciones y, además, si algo sale mal, los administradores podrían reembolsar al comprador.

Círculos internos

Si bien muchos servicios y malware están disponibles para la compra, algunos están reservados para el uso interno de un actor de amenazas, o pueden venderse entre ellos.

Esto se ha visto anteriormente con el resurgimiento de Emotet con la ayuda de Trickbot, el uso del grupo Conti de BazarLoader, o cualquiera de ellos lanzando diferentes variantes de ransomware.

Estos son los programas maliciosos de primer nivel, y equipos completos los auditan, actualizan y reparan constantemente.

Conclusión

Como podemos ver, hay muchos modelos de negocios disponibles para las plataformas MaaS.

Mientras algunos optan por usar Telegram para su distribución, otros publicarán su trabajo en foros clandestinos. Esos foros nos muestran un mundo delicado de comercio clandestino, en un mundo de anonimato donde la reputación a veces es más importante que tener los fondos.

Desafortunadamente, el mundo del malware del círculo interno permanecerá oculto. Solo eventos como las filtraciones de Conti o un arresto nos mostrarán cómo esos grupos se conectan y comunican.

MaaS ha estado en constante aumento. Ofrece al “Skid” inexperto un paso hacia lo que alguna vez fue el mundo de los codificadores experimentados y los piratas informáticos clandestinos, y todo esto por un precio razonable.

Junto con los códigos fuente de malware que se filtran constantemente en línea, los actores de amenazas los usan para crear su variante y luego ofrecerla a la venta en las plataformas que se ven arriba.

Al igual que RaaS, la rentabilidad para ambas partes en la plataforma MaaS es lo que hace que la actividad de este mercado aumente en los últimos años, y no parece haber una razón para que disminuya pronto.

En Advance Networks estamos comprometido con ayudarte a proteger la información de tus endpoints, sabemos que es un tema muy delicado y lamentablemente hoy en día muchas empresas no considerar ni invierten en soluciones de ciberseguridad.

¿Ya conoces Cynet?. Es una solución que resuelve 2 de las problemáticas más vistas en las empresas. 1. Seguridad simple 2. visibilidad en todo momento de tus actividades.

¿Quieres conocer más? Contáctanos aquí