La Dark Web es una colmena de actividad ilícita. Desde pistolas ilegales y tráfico de drogas hasta los programas de Ransomware-as-a-Service, los compradores y vendedores pueden usar este medio para intercambiar e intercambiar conocimientos y productos. Eso es, por supuesto, hasta que el largo brazo de la ley entra y los cierra.
El derribo de mercados como Dark Web Market, Hansa Market y Alpha Bay, por parte de agencias policiales en los EE. UU. Y Europa, llegó a los titulares no hace mucho tiempo y sirvió como el último ejemplo de cómo funciona este juego del gato y el ratón. Sin embargo, no pasó mucho tiempo antes de que los actores amenazados cambiaran a nuevos canales para evadir a las autoridades. Rápidamente pareció que podían usar la cada vez más popular aplicación de mensajería móvil, Telegram, para continuar su intercambio.
El lado oscuro de Internet
Los foros de piratería han sido durante mucho tiempo una plataforma popular y un medio importante de comunicación entre los actores de amenazas, ya que les permiten publicar ofertas de trabajo, comercializar sus productos e incluso consultar entre sí.
A veces, las grandes operaciones y campañas que no pueden ser llevadas a cabo por una persona requieren la formación de un equipo para compartir la carga de trabajo. En otros casos, el malwares y las herramientas que se han creado por motivos malignos se comercializan o se venden a los afiliados con el fin de generar ingresos sin la necesidad de que el desarrollador se vea involucrado en el ataque en sí. Los hilos en los foros de piratería están llenos de ejemplos similares y más, que muestran su importante papel en la quinta generación del panorama de la amenaza cibernética.
En los últimos años, sin embargo, con las agencias de aplicación de la ley que tienen una mejor comprensión de los desafíos que enfrentan en la naturaleza, el control de algunos de estos foros se ha vuelto más estricto. Los investigadores de seguridad han rastreado a varios actores de amenazas por su actividad en dichos sitios web, y las autoridades han logrado derribar foros. Los nombres más recientes y prominentes en esta área son Hansa Market y AlphaBay .
Aunque todavía hay numerosos sitios web que operan bajo la misma premisa tanto en Clearnet como en Darknet, los ejemplos anteriores indican cuán vulnerables pueden ser estos sitios. De hecho, sus usuarios parecen haber llegado a la misma conclusión también, ya que actualmente se está llevando a cabo una migración a una plataforma más secreta y de fácil acceso.
Migración a Telegram
Telegram, una aplicación de mensajería instantánea encriptada presentada por primera vez en 2013, experimentó un aumento meteórico en los suscriptores (cinco millones de usuarios nuevos en solo 24 horas) luego de un bloqueo del servidor en la plataforma de mensajería de WhatsApp. Al igual que WhatsApp, los usuarios de Telegram pueden chatear tanto con personas como con grupos. Lo que lo diferencia, entre otras características, sin embargo, es el orgullo que le otorga a sus capacidades de seguridad mejoradas. Como resultado, algunos de sus grupos de chat alojados se han convertido en una alternativa útil a los foros secretos de la Web oscura.
Los grupos de chat alojados de Telegram, conocidos como «canales», se pueden usar para transmitir mensajes a un número ilimitado de suscriptores y, mientras se puede ver todo el historial de mensajes, cualquier respuesta a los mensajes públicos se realiza de forma privada. La discreción que proporcionan estos canales contribuye en gran medida a disimular su malicia. Cualquier actor de amenaza con una oferta o conversación sombría para comenzar, puede disfrutar de chats cifrados privados y de extremo a extremo en lugar de los hilos expuestos que se ven en los foros en línea. Si en el pasado se requirieron varios pasos para asegurar una conexión anónima a TOR, hoy cualquier usuario de Telegram puede unir fácil y rápidamente canales con un solo toque en su teléfono y comenzar a recibir notificaciones de conversaciones clandestinas y ofertas directamente a su teléfono inteligente, todo mientras manteniendo su identidad completamente oculta.
Canales de Telegram
Una región en la que florecen estos canales turbios es Rusia y algunos ya han atraído a miles de suscriptores. Tales ejemplos son ‘Dark Jobs’, ‘Dark Work’ y ‘Black Markets’, aunque también hay muchos más.
Figura 1: Canales rusos prominentes
Como sugieren los nombres, los mensajes dentro del canal ‘DarkJobs’ generalmente contienen ofertas de trabajo oscuras que están codificadas por colores. Si un trabajo publicado en este canal es peligroso y es probable que conlleve riesgos legales, se marca como ‘negro’, mientras que los trabajos menos amenazantes se marcan como ‘gris’ o ‘blanco’.
Figura 3: Ejemplo de mensajes codificados por color
Sin embargo, los canales no están restringidos a los reclutadores y cazadores de empleos, sino también a los anuncios de venta de documentos robados o herramientas de piratería. Esto es especialmente preocupante, considerando la accesibilidad de los canales y las promesas de altos salarios a aquellos que de lo contrario se abstendrían o no tendrían acceso a estos mercados.
La copia del anuncio que a menudo se utiliza en dichos mensajes para atraer a la gente a tomar este tipo de trabajos es » ¿Estás cansado de vivir en el sótano de tu madre? «,» A las chicas les gustan los chicos con dinero «y otras oraciones imprudentes. Las ganancias rápidas que ofrecen estos anuncios pueden convencer a los miembros del canal de que adopten el atajo lucrativo, aunque incompleto, en lugar de la carrera extenuante.
Como resultado, esto presenta un riesgo de crecimiento en las tasas de cibercrimen, ya que estas posiciones no solo se comercializan abiertamente, sino que también están disponibles para usuarios inexpertos, lo que hace que las herramientas peligrosas estén ahora al alcance de cualquiera.
Empleados
Los mensajes más interesantes son quizás aquellos que buscan empleados de ciertas compañías o bancos. Los actores de amenazas pueden aprovechar a estos empleados para obtener información privilegiada y datos confidenciales que no están disponibles para el público. Esta información interna podría ser utilizada para fines personales o vendidos, o para realizar un ciberataque desde el interior de la empresa. Esto eliminaría la eficacia de algunas soluciones de seguridad. Después de todo, tener a alguien «en el interior» es una herramienta muy poderosa. Al igual que en el mundo real, en el mundo del delito cibernético a menudo puede no ser lo que usted sabe, sino a quién conoce.
Los empleados de los operadores celulares son muy buscados y uno de los extractos a continuación explica por qué. El personal de dichas compañías se puede utilizar para adquirir una gran cantidad de números de teléfono. Otras publicaciones sugieren que se pueden usar para recopilar información personal y datos de registro de llamadas de un cliente.
Otro anuncio de empleo llamativo es aquel que busca empleados de Western Union o Money Gram que tengan acceso a ciertos sistemas. Supuestamente, los empleados recibirán $ 1,000 por día (!) Por sus esfuerzos.
Hackeo de herramientas y servicios
«Se buscó un proyecto oscuro: Cryptor ejecutándose en todos los sistemas desde Windows XP a 10. Pasando por encima de AV superior, especialmente Avast y Defender «.
Este y muchos otros mensajes son un ejemplo perfecto de cómo alguien sin experiencia previa en el desarrollo de malware puede ejecutar una operación completa aprovechando los canales de Telegram. En este caso, quien está detrás del anuncio externaliza un proyecto completo y está a cargo únicamente del pago.
Los usuarios novatos también pueden encontrar mensajes que promocionan sigiloso cripto-mineros que se ejecutarán sin el conocimiento de las víctimas a cambio de 600 rublos, o incluso infostealers que recopilan documentos, capturas de pantalla y contraseñas a cambio de 1000 rublos. Esto es una reminiscencia de los foros cerrados y ocultos en la Dark Web donde los usuarios publicaron Ransomware-as-a-Service entre otras familias de malware.
Documentos oficiales
Otros servicios ilegítimos en algunos de los canales más torcidos de Telegram incluyen la falsificación de documentos legales. Como se puede imaginar, los expertos en Photoshop y los diseñadores independientes tienen una gran demanda en estos mercados.
Los documentos falsificados incluyen identificaciones, pasaportes, documentos bancarios y más. El autor de uno de los mensajes incluso afirmó tener conexiones dentro del Departamento de Policía de Tránsito de Rusia y poder emitir o actualizar licencias de conducir de todas las categorías. Los escaneos de pasaportes de todo el mundo también están disponibles para aquellos » que quieran sacar un préstamo » y que necesiten documentos para fines de verificación. Estas transacciones y otras a menudo emplean los servicios de un tercero (garante) para garantizar que el acuerdo se realice sin problemas entre el comprador y el vendedor y que todo esté en orden.
Fenómeno global
Rusia no es el único país en el que esos canales están ganando popularidad; habiendo observado canales similares en otros idiomas, nuestro análisis apunta a que este método se convierta en una tendencia global.
Algunos canales en el mundo árabe y en Irán, como un canal iraní con el nombre «AmirHack» tienen más de 100.000 suscriptores. Sin embargo, estos canales parecen estar más centrados en la distribución de herramientas de piratería y cuentas comprometidas que sus contrapartes rusas. Las siguientes capturas de pantalla muestran cómo dos canales comercializaron un panel de RAT y una herramienta para hackear cuentas de Instagram.
Conclusión
La conveniencia de los canales de Telegram permite que los actores amenazantes y aquellos que pretenden participar en los delitos cibernéticos se comuniquen de una manera más segura y de fácil acceso. Lamentablemente, aunque las aplicaciones de mensajería se han convertido en una parte integral de la vida moderna y han mejorado a lo largo de los años para garantizar la seguridad de la información de sus usuarios, también están siendo aprovechadas por aquellos que huyen de las miradas indiscretas y la ley. Mediante el uso de tales herramientas, el acceso al malware nunca ha sido tan fácil, los documentos personales y los certificados pueden extenderse a destinos desconocidos y las empresas pueden verse amenazadas por sus propios empleados. De hecho, incluso con el conjunto de habilidades limitado requerido, el número de actores amenazados está en aumento y no es de extrañar que la cantidad de ciberataques en organizaciones e individuos crezca, respectivamente.
Fuente: https://research.checkpoint.com/