Una de las formas más usadas por los delincuentes para ejercer la ciberinteligencia es tratar de apoderarse de datos corporativos y utilizarlos en su beneficio. La forma más sencilla para ello es comprarlos en tiendas automatizadas y dedicadas a vender credenciales. El Cybercrime Intelligence Center de KELA ha realizado un informe donde examina el alcance de distintos mercados que facilitan cientos de miles de credenciales robadas y cómo se monetizan dichos datos.
Cada vez dependemos más del correo electrónico, de ahí que las cuentas de correo empresariales son un gran objetivo para los ciberdelicuentes. Estos utilizan diversos medios para piratearlas, entre los que destacan:
KELA ha monitorizado los foros de delincuentes y se ha dado cuenta de que la demanda de accesos a correos electrónicos está en auge y de ahí el aumento de la cantidad de mercados que ofertan dichas bases de datos. Todo ello le ha llevado a centrarse en la manera en que los actores pueden robar o comprometer estos correos. Dichas bases de datos se venden regularmente en el mercado clandestino, desde una base de datos de correos corporativos, hasta correos gubernamentales o listas combinadas.
Mercados automatizados de ventas de credenciales
El sistema del cibercrimen ha evolucionado y con ello sus tiendas, KELA ha descubierto que esta evolución se centra en la servitización y automatización de las ventas.
Como resultado, florecerán los proveedores dedicados. Algunos como XLeet, Odin, Xmina y Lufix ofrecen webmails corporativos y facilitan la vida de los ciberdelincuentes, permitiéndoles comprar un gran número de correos electrónicos a un precio asequible, y luego dirigirse a decenas de víctimas. KELA recopila estos datos y permite identificar fácilmente el dispositivo y el nombre de usuario infectados.
Las proveedores tienen diseños similares, facilitándole el proceso de compra a los compradores, permitiéndoles clasificar y encontrar correos según características específicas, como un Marketplace tradicional.
También existen ciberdelincuentes de menor tamaño que ofrecen servicios similares, muchos de ellos tienen canales de Telegram con más de 1.000 suscriptores, donde publican actualizaciones de nuevos compradores y webmails añadidos.
Los actores que compran dichas credenciales las utilizan para múltiples tipos de ataques, desde phishing a BEC y ataques de malware entre los que cabe destacar:
Los resultados del informe demuestran que el vector del correo electrónico es el preferido por los ciberdelincuentes, que prefieren manipular el comportamiento humano con técnicas como BEC en lugar de las vulnerabilidades técnicas.
Para evitar estos ataques las organizaciones deben seguir tres recomendaciones básicas. Por una parte, formar y educar a empleados, clientes y proveedores; en segundo lugar, imponer un cambio periódico de contraseñas; y por último vigilar el panorama de la ciberdelincuencia para descubrir nuevas tendencias y amenazas.
KELA descubrió correos web corporativos comprometidos, proporcionando información en tiempo real sobre las actividades de los ciberdelincuentes, lo que permitió a las empresas identificar las cuentas comprometidas y prevenir los ciberataques proporcionando inteligencia en tiempo real sobre las actividades de los ciberdelincuentes.
KELA entiende la profunda necesidad de capacitación debido a las brechas de conocimiento a las que se enfrentan los equipos de seguridad con respecto a la inteligencia del cibercrimen. KELA ofrece talleres gratuitos de Detección de Amenazas del Cibercrimen a su comunidad de expertos en defensa.