Sombrero negro Sería de esperar que, después de años de pedirles a las empresas que protejan sus sistemas, las empresas tuvieran una mejor seguridad para sus aplicaciones web que los cibercriminales, pero una investigación presentada en Black Hat esta semana sugiere que ese no es el caso en absoluto.
Evangelio de Stykasdirector de tecnología y cofundador de la empresa de pruebas de penetración Atropos, dijo El Registro que, según su experiencia al intentar hackear aplicaciones web (su especialidad), los actores del ransomware son mucho mejores en seguridad que sus objetivos empresariales.
“He probado 135 sitios web (ransomware) y solo encontré vulnerabilidades en tres de ellos”, nos dijo Stykas en una entrevista previa a su Black Hat. hablarEso equivale a que menos del 3 por ciento de los grupos de ransomware tienen aplicaciones web vulnerables, que normalmente son utilizadas por los actores de amenazas para volcar datos robados y publicar notas de rescate.
“Eso no es típico en las empresas, donde suelo encontrar vulnerabilidades en el 40 o 50 por ciento de las aplicaciones web”, añadió Stykas.
Y eso no es genial, ¿verdad?
BlackCat arrestado
Para ponerlo en contexto, Stykas logró entrar en portales web controlados por algunos grupos de alto perfil, incluidos ALPHV/Gato Negro, como lo demostró en su presentación.
Después de varios días de escaneo continuo de las URL del C2 de ALPHV para ver cuáles se conectaban, Stykas nos dijo que pudo lograr que uno de los servidores volcara su documentación para clientes y tareas, lo que a su vez le permitió volcar las tareas del servidor y crear otras nuevas. Ese servidor se desconectó rápidamente, pero armado con el conocimiento de la API del grupo obtenido de su intrusión, Stykas tomó medidas.
“Creé un script en Python que analizó el punto final… Tuve que esperar un par de días (para que estuviera en línea), pero después de eso pude extraer 197 comandos en dos minutos”, explicó.
Stykas luego pudo identificar a varias víctimas de ALPHV, incluidos un par de unicornios en el espacio de las criptomonedas, con quienes pudo comunicarse para ayudarlos a abordar las vulnerabilidades y evitar que fueran rescatados.
Esto fue en enero, dijo Stykas. Para marzo, ALPHV/BlackCat había… implosionórealizó una estafa de salida y prácticamente desapareció.
“No quiero asumir la responsabilidad por eso”, objetó Stykas, explicando que la naturaleza de alto perfil del grupo hizo que su expectativa de vida fuera limitada, especialmente después de un fracaso. Busto de diciembre Eso puso a la tripulación en alerta máxima. Aún así, “creo que (mi hackeo) les generó un poco más de estrés”.
Stykas también logró entrar en los sistemas controlados por el grupo de ransomware. Everestquienes, según dijo, estaban ejecutando un sitio de WordPress obsoleto en una instancia VertigoServ al final de su vida útil, lo que le permitió volcar toda su base de datos; y el grupo detrás de la Mallox Familia de ransomware. En el último caso, Stykas pudo explotar una función de chat en el portal de filtraciones del grupo para identificar a varios miembros del grupo y robar un descifrador.
Stykas nos dijo que se había infiltrado en el portal web de un cuarto grupo de ransomware, pero que aún no estaba listo para revelar detalles.
“Lo único malo que he tenido durante los dos últimos años que he estado haciendo esto es que he empezado a recibir alertas de Google de que atacantes respaldados por el gobierno están trabajando en mi contra”, explicó Stykas.
No es la mejor noticia para despertarse, pero ciertamente es un indicio de que los cibercriminales están preocupados.
¿Podrían ahora POR FAVOR proteger sus sistemas?
No sorprende que las bandas de ransomware sean mejores a la hora de proteger sus sitios web externos; después de todo, están llenos de personas capaces de hackear dichos sitios o al menos personas preocupadas por poder estar sujetas a los mismos abusos.
Si bien es definitivamente satisfactorio usar las tácticas de los cibercriminales en su contra, hackear sitios web que piden rescate podría no ser la forma más confiable de contrarrestar a los actores de amenazas.
“Esto podría ser fructífero si lo hiciera un gobierno o una empresa con mucha gente”, nos dijo Stykas; de lo contrario, probablemente sería una pérdida de tiempo. “Lo hice en mi tiempo libre y supongo que le dediqué unas 100 horas”.
En otras palabras, aprenda la lección de los delincuentes que intentan entrar en sus sitios web y otros sistemas conectados a Internet y bloquéelos. O acepte el hecho de que su sitio web puede ser la próxima víctima sobre la que escribamos como advertencia para los demás. ®
