Los ciberdelincuentes de habla rusa enfrentan rendimientos financieros decrecientes luego de la invasión rusa de Ucrania, y muchas estafas se vuelven redundantes casi de la noche a la mañana debido a las sanciones y al mayor escrutinio de las entidades rusas, dicen los investigadores de Digital Shadows.
Basado en comentarios anecdóticos publicados por ciberdelincuentes de habla rusa en un foro no revelado, el equipo de investigación de fotones de Digital Shadows dijo que el éxito financiero de los ciberdelincuentes a menudo tiene altibajos.
Esto se debe a que, aunque los actores de amenazas pueden obtener ganancias consistentes a través de esquemas que funcionan por un tiempo, el método en uso eventualmente se vuelve redundante, obligándolos a gastar tiempo y recursos para identificar nuevos enfoques.
“Siempre a saltos, algún esquema funciona, puedes ordeñarlo, luego el método muere y nuevamente buscas otro, lo estudias, lleva mucho tiempo”, dijo un usuario, según una captura de pantalla compartida con Computer Weekly. .
Digital Shadows agregó que, luego de la invasión de Ucrania por parte de Putin, que ha provocado sanciones y un escrutinio adicional de toda la actividad cibernética que se origina en entidades rusas, muchos ciberdelincuentes tienen que refinar y adaptar sus técnicas “para salir de esa depresión” nuevamente.
“Un buen ejemplo de esto es el uso de GooglePay y otras tecnologías financieras que están prohibidas en toda Rusia. Esto llevó a que muchas estafas se volvieran redundantes casi de la noche a la mañana”, dijeron los investigadores de Digital Shadows en una publicación de blog, publicada el 1 de septiembre de 2022.
Los investigadores agregaron que, según otro usuario del foro, los ciberdelincuentes podían ganar tanto como quisieran antes del conflicto, pero posteriormente habían perdido su capacidad para realizar con éxito el trabajo “en la sombra”.
“En principio, ganaba todo lo que necesitaba hasta que comenzó la operación militar especial. Perdí mi trabajo en la sombra, y solo quedan [RUB] Quedan 30,000 en mi billetera QIWI y $80 en bitcoin”, escribió el usuario.
Los investigadores agregaron además que, para aquellos que aún pueden encontrar trabajo en la sombra, los precios que pueden cobrar han disminuido drásticamente. Un usuario, por ejemplo, sugirió que antes del conflicto, un actor de amenazas normalmente podría ganar $ 500 por proporcionar acceso inicial a una red objetivo.
“Dentro del contexto de la conversación, parece que el usuario estaba sugiriendo que los precios habían bajado significativamente desde entonces”, escribieron los investigadores. “Hemos escrito numerosas veces sobre el auge de los intermediarios de acceso inicial (IAB) y cómo este tipo de actor de amenazas ha ayudado en gran medida al delito cibernético; sin embargo, es posible que el mercado se haya sobresaturado con los IAB y, como resultado, los precios hayan bajado”.
La falta de ingresos actuales fue reiterada por otros usuarios, quienes sugirieron que los métodos alternativos no habían funcionado y que estaban “cansados de vivir en la pobreza”.
Sin embargo, los investigadores señalaron que, aunque la situación económica y geopolítica actual ha sofocado la capacidad de ingresos de los actores de amenazas rusos, es probable que sea un obstáculo a corto plazo. “Muchos tipos de delitos cibernéticos, incluido el ransomware y la apropiación de cuentas, han prosperado en el último año, y es casi seguro que continuarán cuando ingresemos al último trimestre de 2022”, escribieron.
Agregaron que, sin embargo, ha habido una reducción en la actividad de las tarjetas, una forma de fraude con tarjetas de crédito donde las tarjetas de crédito robadas se usan para cargar tarjetas prepagas, aunque es difícil saber si la disminución es el resultado de redadas realizadas por el Departamento Federal de Rusia. Security Service (FSB) a principios de 2022, o un cambio general en el sentimiento de los ciberdelincuentes hacia tales esquemas.
“Identificamos durante implementaciones recientes que el sentimiento entre algunos ciberdelincuentes era que las tarjetas eran una forma de arte en declive, que se estaba volviendo cada vez más difícil de obtener retornos regulares”, dijeron los investigadores.
“Algunos usuarios expresaron su preocupación por las dificultades para recibir información actualizada sobre las actividades de tarjetas en los foros, mientras que otro sugirió que deliberadamente no publicaron información relacionada con las tarjetas para evitar que los competidores obtengan una ventaja”.
Debido a que las personas que se encuentran en el extremo inferior del espectro ciberdelincuente sin mucha experiencia técnica realizan el cardado, los investigadores dijeron que puede ser más difícil para los ciberdelincuentes en ciernes establecerse si no pueden usar el método como una forma de construir un ingresos sostenibles.
Alternativamente, los investigadores postularon que la creciente dificultad de las tarjetas significaba que los ciberdelincuentes simplemente habían pasado a actividades más rentables, como el ransomware.
En mayo de 2022, el Centro Asesor de Investigación de Amenazas de Verizon (VTRAC) y otros 80 colaboradores independientes de la industria observaron un aumento del 13 % en las infracciones de ransomware en 2021, un salto interanual mayor que el de los últimos cinco años combinados.
Según información separada publicada por Photon Research Team en agosto de 2022, se ha establecido un nuevo foro de ciberdelincuentes que se dirige única y explícitamente a las víctimas en Rusia y Bielorrusia.
Conocido como Dumps, el foro tiene una pequeña membresía de alrededor de 100 personas y contiene secciones que ofrecen ataques cibernéticos como servicio, fugas de datos, materiales ilícitos, soporte de tarjetas, malware y acceso a redes comprometidas.
El equipo de Photon dijo que, si bien la invasión rusa de Ucrania ha sido condenada en todo el mundo, el conflicto ha resultado muy divisivo en la comunidad ciberdelincuente.
“Las opiniones sobre la llamada ‘operación militar especial’ del presidente ruso Vladimir Putin dependen de varios factores, en particular los antecedentes del ciberdelincuente, las creencias políticas u otros impulsos nacionalistas”, escribieron.
“Como informamos en blogs anteriores, algunos usuarios de Internet se han encargado de asumir un papel activo en el conflicto, apuntando a organizaciones rusas con violaciones de datos específicas, denegación de servicio distribuida [DDoS] ataques y actividad de desfiguración”.
