Atrás quedaron los días en que los operadores de ransomware estaban contentos con el cifrado de archivos en el sitio y más o menos discretamente cobraban dinero a sus víctimas por una clave de descifrado. Lo que comúnmente encontramos ahora es el cifrado con la amenaza adicional de filtrar datos robados, generalmente llamado doble extorsión (o, como nos gusta llamarlo, ciberextorsión o Cy-X). Esta es una forma única de ciberdelincuencia en la que podemos observar y analizar algunas de las acciones delictivas a través de sitios de filtración de 'víctima vergonzosa'.
Desde enero de 2020, nos hemos dedicado a identificar la mayor cantidad posible de estos sitios para registrar y documentar a las víctimas que aparecen en ellos. Al agregar nuestra propia investigación, analizar y enriquecer los datos extraídos de los diversos operadores y sitios de mercado de Cy-X, podemos proporcionar información directa sobre la victimología desde esta perspectiva específica.
Debemos tener claro que lo que estamos analizando es una perspectiva limitada sobre el delito. Sin embargo, los datos recogidos de un análisis de las amenazas de fuga resultan ser extremadamente instructivos.
Nos referiremos a la lista de una organización comprometida en un sitio de fuga de Cy-X como una "amenaza de fuga". Los números que verá en la mayoría de los cuadros a continuación se refieren a recuentos de tales amenazas individuales en los sitios de cebolla de los grupos Cy-X que hemos podido identificar y rastrear durante los últimos dos años.
Un auge en las amenazas de fugas
A pesar de los caprichos del entorno que estamos observando, la cantidad de filtraciones únicas sirve como un indicador confiable de la escala de este delito y sus tendencias generales a lo largo del tiempo. Observamos un aumento de casi seis veces en las amenazas de fugas desde el primer trimestre de 2020 hasta el tercer trimestre de 2021.
 |
| Fuente: Navegador de seguridad de ciberdefensa naranja 2022 |
Atacar donde está el dinero: Amenazas de fugas por país
Echemos un vistazo a los países en los que operan las víctimas.
 |
| Fuente: Navegador de seguridad de ciberdefensa naranja 2022 |
En el gráfico anterior, mostramos los recuentos de amenazas de fugas de 2020 y 2021 por país, para los 10 principales países que aparecen en nuestro conjunto de datos. También mostramos el Producto Interno Bruto (PIB) estimado para los 12 países más ricos[1].
Los principales países víctimas se han mantenido relativamente constantes en nuestro conjunto de datos. Como regla general, la clasificación de un país en nuestro conjunto de datos rastrea el PIB relativo de ese país. Cuanto más grande es la economía de un país, más víctimas es probable que tenga. De hecho, ocho de los diez principales países víctimas de Cy-X se encuentran entre las 10 principales economías del mundo.
La conclusión que sacamos de esto es que el número relativo de víctimas en un país es simplemente una función del número de negocios en línea en ese país. Esto no prueba definitivamente que los actores de Cy-X no ataquen deliberadamente objetivos en países o regiones específicos de vez en cuando. Tampoco quiere decir que una empresa en un país con un PIB alto tenga más probabilidades de ser atacada que una víctima en un país con un PIB bajo (dado que, con más empresas expuestas dentro de ese país, las probabilidades se igualan).
Desde nuestro punto de vista, la conclusión de estos datos es simplemente que las empresas en casi todos los países están siendo comprometidas y extorsionadas. Lógicamente, cuantas más empresas tenga un país, más víctimas veremos.
Excepciones a la regla
Habiendo dicho eso, nos hemos tomado la libertad de incluir a India, Japón, China y Rusia en el gráfico anterior, como contraejemplos de países con un gran PIB que ocupan un lugar bajo en nuestra lista de víctimas Cy-X.
India, con un PIB proyectado para 2021 de $ 2.72 billones, y China con $ 13.4 billones, parecen estar subrepresentados, lo que puede deberse a varias razones. India, por ejemplo, tiene una población enorme y un PIB correspondientemente grande, pero el PIB per cápita es más bajo y la economía generalmente parece menos modernizada y digital, lo que significa menos negocios en línea para apuntar. Podría ser que los delincuentes duden de que las empresas indias puedan o quieran pagar sus rescates en dólares. El idioma también puede desempeñar un papel: las empresas que no se comunican en inglés son más difíciles de ubicar, comprender, navegar y negociar, y sus usuarios son más difíciles de explotar utilizando herramientas de ingeniería social mercantilizadas.
Japón, como otra excepción obvia a nuestra regla, tiene una economía altamente modernizada, pero presentará a los delincuentes con las mismas barreras lingüísticas y culturales que China e India, lo que posiblemente explique la baja prevalencia en nuestros datos de víctimas.
La conclusión aquí es que Cy-X se está moviendo de economías inglesas a economías no inglesas, pero lentamente por el momento. Este es probablemente el resultado lógico de la creciente demanda de víctimas impulsada por nuevos actores, pero también podría ser la consecuencia de una mayor señalización política de los EE. UU., que puede hacer que los actores sean más cautelosos acerca de a quién explotan ellos y sus afiliados.
Independientemente de las razones, la conclusión aquí una vez más debe ser que las víctimas se encuentran en casi todos los países, y los países que hasta ahora parecían relativamente no afectados no pueden esperar que esto siga siendo así.
Talla única: no hay evidencia de 'caza mayor'
En el cuadro a continuación, mostramos el número de víctimas por tamaño de empresa en nuestro conjunto de datos asignado a los 5 principales actores. Definimos los tamaños de las organizaciones como pequeñas (1000 o menos empleados), medianas (1000-10,000 10,000) y grandes (más de XNUMX XNUMX).
 |
| Fuente: Navegador de seguridad de ciberdefensa naranja 2022 |
Como se muestra, las empresas con menos de 1,000 empleados son las más comprometidas y amenazadas, y casi el 75 % de todas las filtraciones se originan en ellas. Hemos visto este patrón constantemente en nuestros datos de amenazas de fugas en los últimos dos años, por industria, país y actor.
La explicación más obvia para este patrón es nuevamente que los delincuentes están atacando indiscriminadamente, pero que hay más pequeñas empresas en el mundo. También es probable que las pequeñas empresas tengan menos habilidades y recursos técnicos para defenderse o recuperarse de los ataques.
Esto sugiere nuevamente que todas y cada una de las empresas pueden esperar ser atacadas, y que el principal factor decisivo para convertirse en una víctima del sitio de fuga es la capacidad de la empresa para resistir el ataque y recuperarse del compromiso.
También vale la pena señalar que, dado que el delito que estamos investigando aquí es la extorsión y no el robo, lo que nos preocupa es el valor del activo digital afectado para la víctima, no el valor de los datos para el delincuente.
Por lo tanto, cualquier empresa que tenga activos digitales de valor puede ser una víctima. Ni el tamaño pequeño ni la 'irrelevancia' percibida de los datos ofrecerán una protección significativa o 'pasarán desapercibidos'.
Esto es solo un extracto del análisis. Se pueden encontrar más detalles como los actores de amenazas identificados o las industrias más atacadas (así como una tonelada de otros temas de investigación interesantes) en el Navegador de seguridad. Está disponible para su descarga en el sitio web de Orange Cyberdefense, así que eche un vistazo. ¡Vale la pena!
Nota - Este artículo fue escrito y contribuido by Carl Morris, Lead EN LINEA investigador, y charl camioneta la Walt cabeza of EN LINEA investigación, of Naranja Ciberdefensa.
Fuente: https://thehackernews.com/2022/01/a-trip-to-dark-site-leak-sites-analyzed.html
