El mundo del cibercrimen se está moviendo rápidamente. Los actores de amenazas , las pandillas de ransomware , los desarrolladores de malware y otros se están alejando cada vez más y rápidamente de la web oscura "tradicional" (sitios Tor) y hacia los canales ilícitos de Telegram que se especializan en delitos cibernéticos.
¿Por qué los actores de amenazas se están moviendo de Tor a Telegram?
Hoy en día, vemos que la mayoría de la actividad delictiva cibernética ocurre fuera de la web oscura tradicional y en las aplicaciones modernas de redes sociales.
Hay una gran cantidad de razones para el cambio, incluida la mercantilización del delito cibernético, el aumento del escrutinio de las fuerzas del orden en los sitios de Tor y la lentitud general de Tor. Cubriremos cada uno a su vez.
Falta de estafas de salida
Una de las mayores ventajas y desventajas de los mercados tradicionales de la web oscura es que el mercado actúa como una cámara de compensación.
Por lo general, hay una retención de 14 días en las transacciones en las que el mercado retiene la criptomoneda y en las que el comprador puede solicitar un recurso si es estafado.
El desafío es que, en muchos casos, los propietarios del mercado pueden tener millones de dólares en criptomonedas en un momento dado, lo que crea un fuerte incentivo para salir de la estafa y robar el dinero retenido.
Servicios de las redes sociales modernas
En comparación con los sitios Tor, Telegram tiene una ventaja en las siguientes áreas:
- Telegram es rápido y tiene muchas de las comodidades que ofrecen las aplicaciones de redes sociales modernas, como emojis, chats privados directos, una aplicación de teléfono y otras funciones agradables.
- El nivel de competencia técnica para encontrar canales de ciberdelincuencia y realizar compras con éxito es incluso más bajo que Tor, lo que crea una democratización de los datos de ciberdelincuencia.
- Existen muchos canales que brindan "muestras" gratuitas de credenciales, registros de ladrones, datos de infracciones y otros datos que pueden proporcionar una manera fácil para que los usuarios "validen" la efectividad de las ofertas de los proveedores.
Anonimato percibido
No es ningún secreto que los mercados, foros y sitios de Tor están fuertemente monitoreados por las organizaciones encargadas de hacer cumplir la ley. Los usuarios saben que cuando hacen una publicación en un foro o una lista en el mercado, es probable que los vean los equipos de seguridad de la empresa, docenas de agencias de aplicación de la ley y muchos otros.
Por el contrario, Telegram proporciona anonimato percibido debido a los miles de canales especializados en ciberdelincuencia, la falta de seguimiento de IP disponible para los profesionales de seguridad y LE, y la aparente naturaleza efímera de los mensajes.
Tipos de canales de ciberdelincuencia en Telegram
En comparación con los mercados heredados de la web oscura, los canales de Telegram tienden a especializarse en un tipo particular de actividad delictiva. Un mercado de la web oscura puede ofrecer a un delincuente la posibilidad de comprar drogas, armas, números de tarjetas de crédito, combolists y docenas de otros productos ilícitos.
Los canales de Telegram por contrato actúan como una única tienda para un único tipo de productos y pueden clasificarse según lo que ofrecen.
Las siguientes categorías que hemos identificado no son exhaustivas:
Distribución de registros de ladrones (Stealer)
Los registros de robo representan datos de dispositivos infectados con malware de robo de información. Por lo general, incluyen la huella digital del navegador, las contraseñas guardadas en el navegador, los datos del portapapeles, los datos de la tarjeta de crédito guardados en el navegador, la información de la billetera de criptomonedas y la información relevante.
Un registro individual ›representa datos de una computadora. Los canales de registro de Stealer (ladrones) en Telegram vienen en dos tipos:
Canales de registro de ladrones de acceso abierto
Estos canales distribuyen rutinariamente archivos de tamaño megabyte-gigabyte que contienen cientos, miles o, en algunos casos, cientos de miles de registros de ladrones individuales.
Estos pueden verse como un anuncio extendido para canales de registro privados, solo de invitación y como una forma para que los proveedores demuestren que los registros que proporcionan son de alta calidad y contienen credenciales valiosas.
Canales de registro de ladrones VIP
Los canales de registros de ladrones VIP brindan acceso a un número limitado de actores de amenazas a registros "premium" que supuestamente provienen directamente de la fuente y no son tocados por otros actores de amenazas. Por lo general, el precio de acceso a estos canales oscila entre $200 y $400 por mes pagado en Monero.
Sospechamos que muchos corredores de acceso inicial examinan los registros publicados en estos canales para identificar registros específicos que tienen acceso corporativo, validan el acceso y luego revenden el acceso en foros de ciberdelincuencia de primer nivel como Exploit o XSS.
Fraude financiero
Otro tipo de canal que vemos comúnmente son los canales de fraude financiero en los que la información de cuenta bancaria, tarjeta de crédito y reembolso se proporciona de forma masiva. Estos canales suelen subespecializarse en su "tipo" particular de delito, por ejemplo.
- Números de tarjetas de crédito
- Cuentas bancarias
- Guías de reembolso
- Intercambio de SIM
- Fraude de tarjetas de regalo
Combolistas y Credenciales
Otro tipo de canal común y crítico para monitorear son los canales que proporcionan combolists. Las combilistas son listas "seleccionadas" de nombres de usuario y contraseñas robados, a veces acompañados de nombres, correos electrónicos y otra información de identificación que los delincuentes utilizan para intentar ataques de apropiación de cuentas.
Las combilistas se pueden crear en función de la geografía, la industria, el acceso a la cuenta y otras características que los hacen de gran valor para los actores de amenazas.
En muchos casos, los nombres de usuario, correos electrónicos y contraseñas se pegan directamente en el chat de Telegram. En otros casos, los actores de amenazas pueden proporcionar archivos que contienen miles o decenas de miles de puntos de datos (y, a menudo, van acompañados de malware).
Hacktivismo del Estado Nación
La última categoría de canales que es particularmente relevante para los equipos de seguridad cibernética son los canales hacktivistas del estado-nación. Canales como Bloodnet, Killnet, Noname47, Anonymous Sudan y otros se han disparado en popularidad, particularmente desde el comienzo de la guerra en Ucrania.
Estos canales generalmente eligen objetivos específicos, a menudo infraestructura crítica en países de la OTAN e intentan desfigurar sitios web, servicios vitales DDoS y filtrar datos de empresas.
