Alguns actors d’amenaces intenten guanyar uns ingressos amb la feina de robatori i recopilació de dades que han fet d’altres.

Molts actors d’amenaces no tenen problema de ‘treballar’ en horaris intempestius, caps de setmana o festius, coneixedors que aquest sacrifici pot tenir recompensa, perquè els responsables de seguretat i TI de les empreses no estan treballant i les organitzacions es troben menys protegides. 

Però també hi ha ciberdelinqüents més ganduls, que no només no volen treballar, sinó que busquen lucrar-se amb la feina que han fet altres ciberdelinqüents. Són aquells que fan servir l’anomenada ‘extorsió de reciclatge de dades’ (en anglès coneguda com a data resume extortion o, en plural, data recycling attacks).  

Com el nom indica, aquests atacs es donen quan informació delicada o confidencial prèviament compromesa es recicla per a nous atacs o extorsions, sense necessitat de nous accessos tècnics als sistemes de la víctima. És a dir, els ciberdelinqüents tornen a fer servir les mateixes dades robades per ‘veure si cola’. 

Això és possible perquè la informació que s’ha manllevat (com ara credencials, bases de dades, llistats de clients, propietat intel·lectual, etc.) té un enorme valor comercial als mercats criminals i pot ser reutilitzada en múltiples incidents. En molts casos està circulant en fòrums del web fosc i els ciberdelinqüents se n’apropien o fan noves recopilacions més extenses, aprofitant diverses filtracions. 

Els investigadors de seguretat assenyalen que aquests detalls, de fet, no perden el valor després d’un primer incident, sinó que són ‘repaquetitzats’ i reutilitzats en noves campanyes delictives, cosa que maximitza el benefici per als atacants. El ‘reciclatge’, a més, no passa una vegada o dues. De vegades, un mateix data set pot ser aprofitat per desenes o centenars de grups maliciosos en diferents vectors d’atac. 

Per què serveix

Aquest reciclatge d’informació que ha estat vulnerada amb anterioritat s’utilitza per a coses com ara pesca dirigida; compromís de correu electrònic empresarial (BEC), en les quals se suplanta la identitat amb informació real per sol·licitar pagaments o transferències; extorsió secundària, amenaçant de publicar suposades dades robades al web fosc o vendre’ls a tercers fins i tot encara que la víctima ja hagi pagat un rescat o patit un atac anterior.

A més, el data resume extortion pot ser útil per dur a terme atacs encadenats, cosa que els serveix per a diferents vectors com ara el frau financer, el xantatge reputacional, l’enginyeria social, etc. 

Com cobrir-se les espatlles

Davant les publicacions d’amenaces al web fosc les empreses solen comprovar si han tingut forats de seguretat nous o es tracta de dades compromeses que s’han repaquetitzat o agrupat mitjançant raspatge de dades (scrapping). Per això, és poc probable que els ciberdelinqüents obtinguin una suma de rescat per aquests atacs. Això no obstant, poden monetitzar-los d’altres maneres més creatives. 

Per protegir-se dels atacs de reciclatge de dades robades, els experts recomanen combinar monitoratge continu, control d’accessos interns i autenticació robusta. 

Vigilar el web fosc permet detectar si la informació delicada de l’empresa està circulant, mentre que la segmentació de privilegis i l’ús d’autenticació multifactor redueixen el risc que les credencials robades siguin reutilitzades en atacs posteriors. A més, la formació del personal ajuda a reconèixer intents de spear phishing o frau BEC basats en dades prèviament compromeses.

A més, és fonamental que les empreses tinguin un pla de resposta davant d’incidents que inclogui aspectes legals i de comunicació, especialment per obligacions com les del RGPD.