El auge de las plataformas de infostealers
Estas plataformas se inspiran en el diseño y marketing de servicios de información legítimos y de comercio electrónico. Muchos mercados y foros cobran una tarifa de suscripción para acceder a la plataforma, y luego tienen diferentes estructuras de precios para los datos, dependiendo de su valor. Actualmente, Gray menciona que Russian Market tiene una gran cantidad de datos robados disponibles por infostealers, lo que ha llevado a cobrar una tarifa plana baja, generalmente no más de $10, por cualquier conjunto de datos que los usuarios deseen descargar.
Los ataques menos dirigidos y más oportunistas
Gray señala: “Las organizaciones se han vuelto muy buenas con su seguridad, y la gente también se ha vuelto más astuta, por lo que ahora no son los mejores objetivos para ataques a medida tradicionales”. Por ello, los atacantes necesitan algo menos dirigido y más basado en lo que pueden aprovechar. Los infostealers son modulares y a menudo se venden con un modelo de suscripción, lo que probablemente se alinea con el auge de los modernos servicios de suscripción como el streaming de video.
Impacto del trabajo remoto en la seguridad
Los infostealers han sido especialmente efectivos con el aumento del trabajo remoto y híbrido, ya que las empresas se adaptan a permitir a los empleados acceder a servicios laborales desde dispositivos personales y cuentas personales desde dispositivos laborales. Esto crea oportunidades para que los infostealers comprometan aleatoriamente a individuos en sus computadoras personales, pero aun así obtengan credenciales de acceso corporativo porque la persona estaba conectada a algunos de sus sistemas laborales. También facilita que el malware de infostealer evada las protecciones corporativas, incluso en dispositivos empresariales, si los empleados pueden tener abiertas sus cuentas de correo electrónico personal o redes sociales.
Cibercrimen y la cadena de suministro de datos robados
Victoria Kivilevich, directora de investigación de amenazas en la firma de seguridad KELA, señala que, en algunos casos, los delincuentes pueden utilizar mercados de cibercrimen para buscar el dominio de posibles objetivos y ver si hay credenciales disponibles. Kivilevich comenta que la venta de datos de infostealers puede considerarse como la “cadena de suministro” para varios tipos de ciberataques, incluidos operadores de ransomware que buscan los detalles de las posibles víctimas, aquellos involucrados en compromisos de correo electrónico empresarial, e incluso corredores de acceso inicial que pueden vender los detalles nuevamente a otros cibercriminales.
El crecimiento de la actividad de infostealers
En varios mercados de cibercrimen y Telegram, Kivilevich destaca que se han compartido más de 7,000 credenciales comprometidas vinculadas a cuentas de Snowflake. En un caso, un criminal ha estado promocionando acceso a 41 empresas del sector educativo; otro cibercriminal afirma estar vendiendo acceso a empresas de EE.UU. con ingresos entre $50 millones y $8 mil millones, según el análisis de Kivilevich.
Kivilevich señala que “no creo que haya una sola empresa que se haya acercado a nosotros y no tuviera cuentas comprometidas por malware de infostealer”. KELA reporta que la actividad relacionada con infostealers aumentó en 2023. Irina Nesterovsky, directora de investigación de KELA, afirma que millones de credenciales han sido recopiladas por malware de infostealer en los últimos años. “Esta es una amenaza real”, dice Nesterovsky.
Medidas de protección contra infostealers
Carmakal menciona que hay múltiples pasos que las empresas e individuos pueden tomar para protegerse de la amenaza de infostealers y sus efectos posteriores, incluyendo el uso de productos antivirus o EDR para detectar actividades maliciosas. Las empresas deben ser estrictas en hacer cumplir la autenticación multifactor en sus usuarios, señala. “Intentamos alentar a las personas a no sincronizar contraseñas en sus dispositivos corporativos con sus dispositivos personales”, añade Carmakal.
El uso de infostealers ha funcionado tan bien que es casi inevitable que los cibercriminales busquen replicar el éxito de las oleadas de compromisos como Snowflake y busquen ser creativos con otros servicios de software empresarial que puedan utilizar como puntos de entrada para acceder a diversas empresas clientes. Carmakal advierte que espera ver un aumento en las brechas en los próximos meses. “No hay ambigüedad al respecto”, dice. “Los actores de amenazas comenzarán a buscar registros de infostealers y buscarán otros proveedores de SaaS, similares a Snowflake, donde inician sesión y roban datos, y luego extorsionan a esas empresas”.
Fuente y créditos: www.wired.com
Cats: Security
