Esta es la víctima perfecta de ransomware, según los ciberdelincuentes

Una investigación sobre lo que quieren los grupos de ransomware ha pintado la imagen del objetivo perfecto.

Investigadores han explorado cómo se ve la víctima perfecta para los grupos de ransomware actuales.

KELA publicó un informe sobre listas hechas por operadores underground de ransomware , incluidas las solicitudes de acceso – que es el metodo inicial  de obtener un pie dentro de un sistema objetivo — revelando que muchos de estos, quieren comprar un metodo de entrada a empresas estadounidenses con un ingreso mínimo. de más de $ 100 millones.

El acceso inicial es ahora un gran negocio. Los grupos de ransomware como Blackmatter y Lockbit pueden eliminar parte del trabajo preliminar involucrado en un ciberataque comprando acceso, incluidas las credenciales de trabajo o el conocimiento de una vulnerabilidad en un sistema corporativo.

Cuando se considera que una campaña de ransomware exitosa puede resultar en pagos por valor de millones de dólares , este costo se vuelve intrascendente y puede significar que los ciberdelincuentes pueden liberar tiempo para atacar más objetivos.

Los hallazgos de la compañías de ciberseguridad, basados ​​en observaciones en foros de la dark web durante julio de 2021, sugieren que los actores de amenazas están buscando grandes empresas estadounidenses, pero también se consideran objetivos canadienses, australianos y europeos.

Los objetivos rusos generalmente se rechazan de inmediato, y otros se consideran “no deseados”, incluidos los ubicados en países en desarrollo, probablemente porque los pagos potenciales son bajos.

Sin embargo, aproximadamente la mitad de los operadores de ransomware rechazarán las ofertas de acceso a organizaciones del sector de la salud y la educación, sin importar el país. En algunos casos, las entidades gubernamentales y las organizaciones sin fines de lucro también están fuera de la mesa.

Además, existen métodos de acceso preferidos. El acceso basado en el protocolo de escritorio remoto (RDP) y la red privada virtual (VPN) resultan populares. Específicamente, acceso a productos desarrollados por empresas como Citrix, Palo Alto Networks, VMWare, Cisco y Fortinet. 

“En cuanto al nivel de privilegios, algunos atacantes afirmaron que prefieren los derechos de administrador de dominio, aunque no parece ser crítico”, afirma el informe.

KELA

KELA también encontró ofertas para paneles de comercio electrónico, bases de datos no seguras y servidores Microsoft Exchange, aunque pueden ser más atractivos para los ladrones de datos y los delincuentes que intentan implantar software espía y mineria de criptomonedas. 

“Todos estos tipos de acceso son indudablemente peligrosos y pueden permitir a los actores de amenazas realizar varias acciones maliciosas, pero rara vez brindan acceso a una red corporativa”, señalaron los investigadores.

Aproximadamente el 40% de los listados fueron creados por individuos participantes en el espacio Ransomware-as-a-Service (RaaS).

Los operadores de ransomware están dispuestos a pagar, en promedio, hasta $ 100 000 por valiosos servicios de acceso inicial.

En un estudio anterior, KELA observó otra tendencia notable en el espacio del ransomware: la creciente demanda de negociadores . Los operadores de RaaS están intentando monetizar mejor la etapa de un ataque cuando una víctima se comunicará con los operadores de ransomware para negociar un pago, pero como las barreras del idioma pueden causar problemas de comunicación, los grupos de ransomware están tratando de asegurar nuevos miembros del equipo capaces de manejar el inglés conversacional.

Intel 471 también descubrió que los ciberdelincuentes involucrados en estafas de Business Email Compromise (BEC) están tratando de reclutar hablantes nativos de inglés . Dado que las señales de alerta de los correos electrónicos de phishing incluyen errores gramaticales y ortográficos deficientes, los estafadores intentan evitar ser detectados en el primer obstáculo pagando a los angloparlantes para que escriban una copia convincente.

Por Charlie Osborne para Zero Day |

Referencia: https://www.zdnet.com/article/this-is-the-perfect-ransomware-victim-according-to-cybercriminals/?ftag=TRE-03-10aaa6b&bhid=%7B%24external_id%7D&mid=%7B%24MESSAGE_ID%7D&cid=%7B%24contact_id%7D&eh=%7B%24CF_emailHash%7D