La Deep y la Dark web
Son dos conceptos bastante relacionados para la mayoría de las personas. Automáticamente se piensa en (ciber)delincuencia, drogas, armas y un largo etcétera de elementos delictivos. Las personas que tienen eso en mente están, simplemente, equivocados. La realidad es que ambos conceptos no tienen nada que ver necesariamente. Podría decirse que únicamente les une el hecho de formar parte del inmenso e infinito ciberespacio.
Por un lado, la Deep Web es aquella parte de internet en la que se entra haciendo uso de cualquier navegador convencional y tras pasar algún tipo de autenticación, por ejemplo, la cuenta bancaria personal, la cuenta de Amazon, Telegram, WhatsApp… ¿Qué hay de delictivo ahí?.
Por otro lado, tenemos la Dark Web, esa parte de internet no es accesible tan fácilmente como la anterior. En este caso se utiliza un navegador especial, por ejemplo, el gran conocido Tor Browser. En esta Dark Web tenemos muchísimos recursos y todos son comunes a los que nos podemos encontrar tanto en Surface como Deep Web la única diferencia sería que la navegación es anónima.
Como con todo, si alguien quiere, puede aprovechar para hacer el mal. Pero esto ocurre en la calle, así como en internet, ya sea Surface, Deep o Dark Web. El caso es que, ya que alguien quiere hacer uso de internet para cometer un acto delictivo, va a tratar de ocultarse al máximo. Y ¿eso cómo se consigue? Haciendo uso de las darknets disponibles, como es la red de Tor.
En la Dark Web se puede encontrar todo lo humanamente imaginable empezando por lo más conocido como pueden ser drogas y armas, pasando por servicios de hackers maliciosos y compra de dinero falso y acabando por la compra de órganos para trasplantes, contratación de sicarios, secuestros, y un largo etcétera.
La cuna de la ciberdelincuencia
En este artículo centramos el tiro en los actores de amenaza que aprovechan esa red anónima para crear sus propios nichos de ciberdelincuencia.
Un actor de amenaza es un individuo, grupo u organización real que operan con intenciones maliciosas y distintas motivaciones cómo pueden ser las políticas, económicas o reivindicativas, entre otras.
Markets
Estos actores de amenaza operan de manera habitual y abierta en la Dark Web. Unas de las plataformas más habituales en este tipo de darknets son los Markets de credenciales de acceso obtenidos por malware de tipo botnet. Hay infinidad de ellos, sin embargo, uno de los más conocidos es Genesis Market. Los precios de este Market oscilan entre los cinco y los 150 dólares aproximadamente por conjunto de credenciales y brindan la posibilidad de buscar por página web o por tipo de plataforma. Por ejemplo, haciendo una búsqueda de credenciales para Amazon obtenidas en España.
Una vez se accede al pack de credenciales, sale todo tipo de información útil entre la que se encuentra:
- El país de origen del sistema afectado
- Los dos primeros octetos de la dirección IP
- El sistema operativo del dispositivo afectado
- Todos los dominios para los que el malware ha robado credenciales
En este ejemplo anterior, todas las credenciales serían vendidas por 33 dólares.
Foros Underground
Por otro lado, están los famosos foros underground donde se puede encontrar también de todo, sin embargo, lo más peliagudo son las ventas de accesos de tipo RDP (Remote Desktop Protocol), VPN (Virtual Private Network), cuentas de Controladores de Dominio, de Directorio Activo, etc.
Muchos actores de amenaza consiguen este tipo de accesos y los utilizan para entrar en la infraestructura de las empresas y realizar ataques, habitualmente, de tipo ransomware. Otros actores de amenaza únicamente los consiguen para posteriormente ofrecerlos a la venta por cantidades de dinero que oscilan entre los cien dólares y puede llegar hasta los doscientos mil dólares en ocasiones. Por supuesto, no es lo mismo un acceso a una red de una empresa grande que a una mucho más pequeña ya que la ganancia en caso de éxito también será proporcional.
Todos son ejemplos de ventas de accesos en foros de la Deep y la Dark Web. Como se puede ver, los hilos se actualizan de manera habitual indicando, incluso, lo que ya ha sido vendido en un momento dado y que ya no está disponible.
Grupos de ransomware
Algo que desde la pandemia en 2020 resuena mucho, son los grupos de ransomware y sus muros de la vergüenza o “Hall of shame”. Los grupos de ransomware utilizan estas plataformas para publicar de manera abierta la información de las víctimas de los grupos de actores de amenazas que han secuestrado y/o cifrado su información.
De entre los grupos de ransomware más habituales tenemos a Lockbit 3.0, BlackBasta y Play Ransomware. Todos y cada uno de ellos ofrecen su página web de exfiltración para que, quien lo desee, pueda acceder y ver los datos robados a sus víctimas.
Ilustración 1. Muro de la vergüenza de Lockbit.
Ilustración 2. Muro de la vergüenza de BlackBasta
Ilustración 3. Muro de la vergüenza de Play Ransomware.
Marta, enhorabuena por tu excelente artículo y tu gran labor en el máster. Profesionales como tú, hacen que merezca la pena realizarlo.