Los grupos de ciberdelincuencia se administran de manera similar a las organizaciones multinacionales
Se ha descubierto que un agente de acceso inicial (Initial Access Brokers, en inglés) previamente indocumentado proporciona puntos de entrada a tres diferentes actores de amenazas para generar intrusiones que van desde ataques de ransomware motivados financieramente hasta campañas de phishing.
El equipo de investigación e inteligencia de BlackBerry apodó a la entidad "Zebra2104", y el grupo es responsable de ofrecer un medio de enfoque digital para los sindicatos de ransomware como MountLocker y Phobos, así como la amenaza persistente avanzada (APT) rastreada bajo el nombre de StrongPity (también conocida como Prometeo).
El panorama de amenazas tal como lo conocemos ha estado cada vez más dominado por una categoría de jugadores conocidos como los agentes de acceso inicial (IAB), que son conocidos por ofrecer a otros grupos ciberdelincuentes, incluidos los afiliados de ransomware, con un punto de apoyo en un infinito grupo de potenciales organizaciones que pertenecen a diversas geografías y sectores a través de puertas traseras persistentes en las redes de víctimas, construyendo efectivamente un modelo de precios para el acceso remoto.
"Normalmente, los IAB primero obtienen acceso a la red de la víctima y luego venden ese acceso al mejor postor en foros clandestinos ubicados en la web oscura", señalaron los investigadores de BlackBerry en un informe técnico publicado la semana pasada. "Más adelante, el postor ganador a menudo desplegará ransomware y/u otro malware motivado financieramente dentro de la organización de la víctima, según los objetivos de su campaña".
Un análisis de agosto de 2021 de más de 1.000 listados de acceso anunciados para la venta por IAB en foros clandestinos en la web oscura encontró que el costo promedio de acceso a la red fue de $ 5.400 para el período de julio de 2020 a junio de 2021, con las ofertas más valiosas que incluyen privilegios de administrador de dominio a los sistemas empresariales.
La investigación de la empresa canadiense de ciberseguridad comenzó con un dominio llamado "trashborting [.] Com" que se encontró entregando Cobalt Strike Beacons, usándolo para vincular la infraestructura más amplia a una serie de campañas de malspam que dieron como resultado la entrega de cargas útiles de ransomware, algunas de las cuales se dirigieron a empresas inmobiliarias australianas y departamentos gubernamentales estatales en septiembre de 2020.
Además de eso, se descubrió que "supercombinating [.] Com", otro dominio hermano registrado junto con trashborting [.] Com, estaba conectado a la actividad maliciosa de MountLocker y Phobos, incluso cuando el dominio se resolvió en una dirección IP "91.92.109 [.] 174", que, a su vez, también se usó para alojar un tercer dominio "menciononecommon [.] com" entre abril y noviembre de 2020 y se utilizó como un servidor de comando y control en una campaña de junio de 2020 asociada con StrongPity.
La superposición y la amplia orientación del IAB también han llevado a los investigadores a creer que el operador "o tiene mucha mano de obra o ha instalado en Internet trampas grandes 'ocultas a la vista'", lo que permite a MountLocker, Phobos y StrongPity obtener su acceso a las redes específicas.
"La red interconectada de infraestructura maliciosa vista a lo largo de esta investigación ha demostrado que, de una manera que refleja el mundo empresarial legítimo, los grupos de ciberdelincuencia se administran en algunos casos de manera similar a las organizaciones multinacionales", dijeron los investigadores. "Crean asociaciones y alianzas para ayudar a avanzar en sus objetivos. En todo caso, es seguro asumir que estas 'asociaciones comerciales' de grupos de amenazas se volverán aún más frecuentes en el futuro".
