Cisco desmantela operación de ransomware que generó $30 millones para los hackers

Investigadores de Cisco detienen operación de ransomware que genera $30 millones de ingresos para los hackers

Investigadores de la firma de ciberseguridad Cisco han descubierto que un grupo de hackers está generando un estimado de $30 millones al año a partir de su operación criminal en línea. Según los investigadores, descubrieron una gran campaña de ransomware conectada al Angler Exploit Kit, que es uno de los kits de explotación más efectivos disponibles para hackear computadoras en el mercado negro.

La herramienta se vende a pandillas de cibercrimen, que aprovechan las explotaciones de Angler principalmente para navegadores y complementos de navegador. Está dirigida a cualquier persona con software malicioso, como ransomware o ladrones de credenciales bancarias, que no tiene el tiempo o la habilidad para desarrollar y mantener su propia base de datos de exploits de software.

Los investigadores notaron que un gran porcentaje de usuarios infectados se estaban conectando a servidores pertenecientes al proveedor de hosting Limestone Networks. Después de investigar más, estimaron que un solo hacker o un grupo de hackers está atacando hasta 90,000 usuarios finales al día.

Basado en una ventana de 13 horas en un solo servidor, las conclusiones extraídas por Cisco al observar 90,000 direcciones IP únicas por día que estaban siendo servidas al menos una de las páginas de ataque del Angler EK que pertenecían al proveedor de hosting Limestone Networks. También parece que las observaciones son de un cliente que utilizó Angler en lugar de los operadores del EK en sí.
“Al analizar el comportamiento de solo un nodo que entrega Angler, así como un servidor que monitorea estos sistemas, Talos puede afirmar de manera confiable que un actor de amenaza fue responsable de hasta la mitad de la actividad de Angler que hemos observado globalmente. Esta red maliciosa genera aproximadamente más de $30 millones anualmente”, dijo Cisco.

Cisco se unió a Level 3 Threat Research Labs, OpenDNS y la firma de hosting Limestone Networks para su investigación.

Limestone Networks proporcionó acceso a los servidores utilizados por Angler, revelando cómo el grupo logra distanciarse de las infecciones reales de los dispositivos de los usuarios finales.
“Cisco determinó que un número desproporcionado de servidores proxy utilizados por Angler estaban ubicados en servidores del proveedor de servicios Limestone Networks, siendo el actor de amenaza principal responsable de hasta el 50 por ciento de la actividad del Angler Exploit Kit”, señaló Cisco.

Después de investigar la operación, según las estimaciones realizadas por los investigadores de Cisco, se afirma que la vida útil de un servidor de exploits de Angler es de un día y que alrededor de 3600 usuarios son comprometidos por ransomware cada día. Además, encontraron que el 3% de los objetivos pagaron el rescate promedio de $300 a los hackers. Como resultado, este hacker en particular o un grupo de hackers está generando más de $34 millones de ingresos anuales, estimaron los investigadores de Cisco.

Tenga en cuenta que la cifra estimada por los investigadores de Cisco siguiendo los archivos de registro se recupera de solo un servidor. El número real puede ser incluso mayor que $30 millones anualmente.

Los investigadores de la unidad de seguridad Talos de Cisco Systems señalaron que “usando matemáticas simples [uno] puede determinar fácilmente que este [particular] adversario está ganando potencialmente $3 millones al mes”, pero “es difícil ser 100% preciso con estos números”.

El proveedor de hosting afectado, Limestone Networks, ha cerrado desde entonces los servidores maliciosos después de que los investigadores de Cisco se pusieron en contacto con ellos.

Identificado por primera vez a finales de 2013, el Angler Exploit Kit se ha convertido en uno de los kits de explotación más populares en el mercado. Básicamente, tiene una serie de herramientas de hacking que aprovechan las vulnerabilidades en Java, Flash y otros complementos de navegador para infiltrarse en los sistemas de las víctimas.

Los cibercriminales ahora están utilizando ransomware en su kit que produce más dinero por ataque.

“Este es un golpe significativo para la economía emergente de los hackers”, dijeron los investigadores, “donde el ransomware y la venta en el mercado negro de IP robadas, información de tarjetas de crédito e información personal identificable (PII) están generando cientos de millones de dólares anualmente.”

Puntos a tener en cuenta para protegerse contra el ransomware

Puede proteger su computadora contra ransomware y otras amenazas de malware teniendo en cuenta los siguientes puntos:

• Asegúrese de que todo el software en su computadora esté actualizado.
• Asegúrese de que la actualización automática esté activada para obtener todas las últimas actualizaciones de seguridad.
• Utilice conexiones seguras para transacciones sensibles.
• Use un teclado virtual para la banca por internet.
• Use contraseñas alfanuméricas y de símbolos fuertes.
• No abra ningún archivo adjunto a menos que conozca al remitente y la razón por la que lo envían.