Positive Technologies: en la darknet ha surgido un auténtico "mercado de segunda mano" de datos — filtraciones de hace un año se venden como si fueran nuevas
Los consumidores ni siquiera sospechan que hay una trampa...
Las antiguas filtraciones en plataformas clandestinas se venden cada vez más como ataques recientes. El equipo de Positive Technologies registró un aumento notable de esta práctica y llegó a la conclusión de que alrededor de las bases publicadas hace tiempo ya se ha formado un mercado aparte con sus propias reglas, intermediarios y demanda. Para las empresas cuyos datos se filtraron en algún momento, ese esquema crea problemas adicionales: incluso una filtración antigua puede seguir beneficiando a los atacantes.
Los investigadores describen un modelo bien afinado de monetización secundaria. Los ciberdelincuentes encuentran bases que aparecieron en acceso abierto meses o incluso años atrás y luego las vuelven a poner a la venta. Para subir el precio y atraer la atención, los vendedores acompañan las publicaciones con declaraciones ruidosas sobre supuestos ataques recientes a una organización concreta. Parte de la audiencia de las plataformas clandestinas no verifica el origen de los archivos y está dispuesta a pagar por conjuntos de datos que llevan circulando por la red desde hace tiempo. El precio de uno de esos archivos puede llegar a varios miles de dólares.
Uno de los ejemplos más reveladores está relacionado con el grupo RED EYES. En enero los atacantes anunciaron el hackeo de la plataforma saudí Yamm y empezaron a vender los datos robados. Sin embargo, el análisis mostró que por la estructura de los registros, el volumen y otros indicios la base coincidía completamente con el conjunto que se publicó ya en julio del año pasado. Una historia similar ocurrió con Baran Company Limited. RED EYES presentó los datos como resultado de un ataque nuevo, aunque en realidad habían aparecido en acceso abierto varios meses antes.
Los autores del esquema utilizan no solo bases antiguas, sino también la reputación ajena. En los recursos clandestinos aparecen perfiles falsos que copian el estilo de comunicación y la presentación de mensajes de grupos conocidos, incluidos ShinyHunters y Babuk Locker. Esos nombres se asocian desde hace tiempo con filtraciones importantes, declaraciones ostentosas y ataques a empresas destacadas, por lo que la confianza en las publicaciones aumenta más rápido. En consecuencia, a los estafadores les resulta más fácil convencer a los compradores de que se trata realmente de material fresco y valioso.
Al mismo tiempo, los propios foros no siempre permiten mantener esa máscara por mucho tiempo. Gracias a los mecanismos de reputación y al control interno, las cuentas sospechosas suelen bloquearse con bastante rapidez. Por ese motivo, una parte notable de la reventa y la formación de la demanda se desplaza a los mensajeros. Estos se convierten en un entorno cómodo donde es más fácil publicitar bases antiguas haciéndolas pasar por nuevas y buscar compradores para información comprometida.
Según la estimación de Positive Technologies, el dinero en ese mercado secundario es real y considerable. Uno de los administradores de un canal dedicado a las filtraciones incluso afirmó haber ganado en un mes alrededor de 130.000 dólares. Incluso si se considera esa cifra como una declaración de un participante del mercado clandestino, muestra bien la escala del interés por la reventa de bases antiguas y el nivel de rentabilidad de ese negocio.
El peligro para las empresas no termina incluso años después de la primera publicación de los datos. Dmitriy Streltsov, del grupo de analítica internacional de Positive Technologies, explica que una filtración antigua todavía puede utilizarse en ataques reales. La información de los archivos sirve para phishing, reconocimiento inicial, compromiso de cuentas y preparación de nuevas intrusiones. Además, la repetida aparición de los datos de una misma organización en las plataformas clandestinas alimenta el interés de los atacantes y aumenta la probabilidad de nuevos intentos. Como resultado, a las empresas les resulta más difícil tanto prever las amenazas como diseñar la defensa.
¿Qué hacer? La respuesta es evidente: mirar no solo los incidentes nuevos, sino también la reaparición de filtraciones de datos antiguas en los recursos clandestinos. No es menos importante vigilar el comportamiento de los propios participantes de la web oscura: ese tipo de monitoreo ayuda a evaluar con más precisión los riesgos y a tomar medidas de protección a tiempo.