Avaluació de l'amenaça del crim organitzat a Internet (IOCTA) 2024
Celia Catalán
El 2023, els atacs de ransomware, així com el frau en línia van continuar sent les principals amenaces al món de la ciberseguretat a la UE. Aquest panorama va incloure tant actors solitaris com a xarxes criminals, operant tant dins com fora de la UE. Tot i que s'enforteixen els marcs reguladors, el factor humà continua sent la baula més feble. Els models d‟estafa multinivell i les tecnologies emergents com la IA estan millorant l‟enginyeria social i facilitant el frau. L'ús de deepfakes també augmenta, especialment en el frau generat per IA.
A continuació, s'analitzaran els tipus d'amenaces més comunes del 2023:
Criptodivises i la dark web
El 2023, l'ús criminal de criptomonedes es va fer més evident, amb un augment de les sol·licituds de suport investigatiu rebudes per Europol. Els delictes financers, principalment el frau d'inversió i el rentat de diners, són les àrees on més hi ha les criptomonedes. Algunes stablecoins permeten a les agències de la llei congelar fons sospitosos, cosa que facilita les investigacions.
Els operadors de ransomware solen demanar Bitcoin com a rescat, encara que de vegades exigeixen altres criptomonedes com Monero. L'ús criminal d'altcoins està augmentant, amb casos que involucren Bitcoin i altcoins gairebé igualats. Les noves normes de la UE sobre transferències de fons han ampliat les obligacions de reporti als proveïdors de serveis de criptoactius (CASPs), cosa que s'espera millori la quantitat d'informació disponible per a les investigacions a la UE.
D'altra banda, els fòrums de la dark web són els principals canals per anunciar mercats foscos (il·lícits), en els quals la moneda de canvi són les crytocoins. Els administradors limiten la mida i la vida útil dels seus mercats per evitar la vigilància digital, mentre mantenen una bona reputació per atraure clients. A la dark web les criptomonedes continuen sent atractives a causa de la seva dificultat per rastrejar aquest tipus d'actiu.
Ciberatacs
Els grups de ransomware que operen sota el model de Ramsonware-as-a-Service (RaaS) han intentat capitalitzar la caiguda dels seus competidors per atraure afiliats. Després de la interrupció dels serveis de Hive, BlackCat/ALPHV va promoure la seva seguretat i no-log policy per atraure els antics afiliats de Hive. No obstant això, el tancament de llocs de BlackCat/ALPHV el desembre del 2023 va danyar la seva reputació, i el març del 2024, aparentment van cessar operacions i van estafar els seus afiliats. Les accions policials contra operadors de ransomware afecten la seva reputació i operació, exposant els afiliats i causant pèrdues de recursos. Aquesta susceptibilitat ha portat alguns afiliats a desenvolupar els seus propis codis malwares utilitzant eines de IA. LockBit, un dels proveïdors de RaaS més famós, va ser desmantellat el febrer de 2024 mitjançant una acció coordinada de LEAs, danyant severament la seva capacitat. LockBit havia llançat noves variants com LockBit Black i LockBit Green, i desenvolupava encryptores per a MacOS. Un nou grup RaaS, Akira, associat al desmantellat grup Conti, ha sorgit com una amenaça creixent.
Els grups de ransomware han centrat els seus atacs principalment en petites i mitjanes empreses (SMBs), ja que les grans empreses han millorat la ciberseguretat. Els atacants trien els seus objectius basant-se en la mida, la probabilitat de pagament i l'esforç necessari per comprometre els sistemes, utilitzant credencials robades o explotant vulnerabilitats en tecnologies accessibles públicament. Els operadors de ransomware utilitzen intermediaris d'accés inicial (IABs) especialitzats en certes tecnologies per identificar superfícies d'atac viables i influeixen la selecció d'objectius. Els operadors continuen utilitzant tàctiques d'extorsió multilayer, on l'amenaça de publicar o subhastar dades robades s'ha tornat més efectiva, ja que moltes organitzacions ara fan còpies de seguretat regularment.
El 2023, el panorama del codi maliciós com a servei (MaaS) va experimentar diversos canvis. Després de la caiguda de la infraestructura del codi maliciós Qakbot, els atacants van recórrer ràpidament a altres proveïdors establerts o emergents de dropper/loaders, com IcedID, SystemBC, Pikabot, DanaBot i Smokeloader. Cobalt Strike es va començar a utilitzar com a porta del darrere i centre de comandament i control (C2). Els marcs impulsats per IA, com PentestGPT, també s'utilitzen amb finalitats malicioses per facilitar el compromís inicial dels sistemes d'informació.
Esquemes de frau en línia i de pagament
El 2023, l'amenaça dels robatoris de comptes (ATO) ha crescut significativament, destacant-se com una forma clau de Criminal-as-a-Service (CaaS). Els delinqüents segueixen accedint a comptes en línia, com ara bancs, correus electrònics i xarxes socials, per prendre fons i obtenir informació sensible que després monetitzen. Atès que els bancs estan tractant les pèrdues per estafes de credencials 2FA/MFA com a negligència del titular legítim, els fraus dirigits a comptes individuals continuen sent una activitat de baix risc i alt benefici per als criminals.
Els atacants utilitzen eines d'administració remota (RAT) i aplicacions disponibles a botigues legítimes per generar aquests fraus. Els atacs de Business Email Compromise (BEC), particularment el frau dirigit a CEOs, continuen sent comuns, amb correus electrònics de pesca cada vegada més convincents gràcies a models de llenguatge generatiu (LLMs). Les estafes dirigides també continuen sent una amenaça significativa, amb eines d'IA que permeten als estafadors contactar amb més víctimes i perfeccionar les tècniques d'enginyeria social.
Què cal esperar en el futur?
L'adopció generalitzada d'eines i serveis d'IA per part dels atacants genera noves amenaces, incloent-hi tant l'abús d'eines i serveis legítims com la creació de versions malicioses ad hoc. La proliferació de models de llenguatge sense filtres emergents multiplicarà els anuncis fraudulents generats per IA, atraient potencials víctimes. Els delinqüents podran fer servir IA per millorar mètodes criminals i superar barreres idiomàtiques, facilitant la manipulació en múltiples idiomes.
Prioritzant la prevenció de delinqüents, les forces de l'ordre i els legisladors poden abordar el cibercrim des de la seva arrel, creant solucions sostenibles i a llarg termini per protegir aquests entorns. En enfocar-se en les causes que porten les persones a involucrar-se en aquest tipus d'activitats, com ara la manca de consciència, incentius financers o factors socioeconòmics, les autoritats poden reduir efectivament les taxes de crim en línia. Invertir en prevenció no sols mitiga els riscos immediats, sinó que també fomenta una cultura de ciberseguretat, creant un entorn digital més segur.
