Sophos ha anunciado hoy que ha descubierto cómo los concursos de investigación organizados por foros de ciberdelincuentes están ayudando a inspirar nuevos métodos de ataque y evasión de la detección. Los concursos son un reflejo de los “Call For Papers” de las conferencias de seguridad legítimas y proporcionan a los ganadores considerables recompensas económicas y el reconocimiento de sus compañeros, además de posibles puestos de trabajo. Como se indica en el último informe de Sophos X-Ops: “For the win? Offensive research contests on criminal forums“, estos concursos están diseñados para impulsar la innovación, y cuando se analizan, las entradas proporcionan una visión inestimable de cómo los ciberdelincuentes intentan superar las medidas de seguridad.
A pesar de la antigüedad de los concursos en foros delictivos, han evolucionado a lo largo de los años. Los primeros concursos de ciberdelincuentes consistían en trivias, concursos de diseño gráfico y juegos de adivinanzas. Ahora, los foros delictivos invitan a los atacantes a “enviar” artículos sobre temas técnicos, con código fuente, vídeos y/o capturas de pantalla. Una vez enviados, se invita a todos los usuarios del foro a votar por el ganador del concurso. Sin embargo, el juicio no es totalmente transparente, ya que los propietarios del foro y los patrocinadores del concurso tienen sus propios votos en el asunto.
“El hecho de que los ciberdelincuentes organicen, participen e incluso patrocinen estos concursos, sugiere que existe un objetivo comunitario para avanzar en sus tácticas y técnicas. Incluso hay pruebas que sugieren que estos concursos actúan como herramienta de reclutamiento entre destacados grupos de actores de amenazas”, afirma Christopher Budd, director de investigación de amenazas de Sophos. “Aunque nuestra investigación muestra una mayor atención a temas relacionados con la Web-3, como las criptomonedas, los contratos inteligentes y las NFT, muchas de las propuestas ganadoras tenían un atractivo más amplio y se les podía dar un uso práctico, aunque no fueran especialmente novedosas. Esto puede ser un reflejo de las prioridades de la comunidad, pero podría indicar que los atacantes se guardan para sí sus mejores investigaciones, ya que pueden sacar más provecho utilizándolas en ataques del mundo real”.
Sophos X-Ops exploró dos destacados concursos anuales: uno organizado por el foro de ciberdelincuentes en lengua rusa Exploit, que ofrece un fondo total de premios de 80.000 dólares al ganador de su concurso en 2021, y otro organizado en el foro XSS, con un fondo de premios de 40.000 dólares en 2022. Durante varios años, destacados miembros de la comunidad ciberdelictiva han patrocinado estos eventos, entre ellos All World Cards y Lockbit.
En los concursos más recientes, Exploit tematizó su concurso en torno a las criptomonedas, mientras que XSS abrió su concurso a una serie de temas, desde la ingeniería social y los vectores de ataque hasta la evasión y las propuestas de estafa. Muchas de las propuestas ganadoras se centraban en el abuso de herramientas legítimas como Cobalt Strike. Uno de los finalistas compartió un tutorial sobre ofertas iniciales de monedas (ICO) para recaudar fondos para una nueva criptomoneda y otro sobre la manipulación de tokens de privilegio para desactivar Windows Defender.