Medición de ofertas de ciberdelincuencia como servicio (CaaS) en un foro de ciberdelincuencia

Ugur Akyazi 

Delft University of Technology 

u.akyazi@tudelft.nl 

Michel van Eeten
Delft 

University of Technology 

m.j.g.vanEeten@tudelft.nl 

Carlos H. Gañán
Delft 

University of Technology 

c.hernandezganan@tudelft.nl 

La aparición del ciberdelito como servicio (CaaS) es una evolución importante en el campo del ciberdelito. Un área clave de la investigación de CaaS es dónde y cómo la oferta de CaaS coincide con la demanda. Además de los mercados clandestinos y los sitios web personalizados, los foros de ciberdelincuencia proporcionan un canal importante para que los proveedores de CaaS atraigan clientes. Nuestra investigación es el primer análisis longitudinal completo de los tipos de oferta y demanda de CaaS en foros de ciberdelincuencia. Desarrollamos un clasificador para determinar la oferta y la demanda de cada tipo y medir su popularidad relativa, y lo aplicamos a un conjunto de datos de publicaciones en foros de Hack que abarcan 11 años, que es la red continua más grande y antigua de la red de superficie Uno de los idiomas en inglés. foros de ciberdelincuencia. Entre los 28 tipos conocidos de CaaS, solo encontramos evidencia de 9 de ellos en el foro. Con el tiempo, no hemos visto cambios drásticos en estos productos, incluso después de que los organismos encargados de hacer cumplir la ley cerraran el principal mercado clandestino. Aproximadamente el 16% de las publicaciones temáticas en la sección «mercado» del foro ofrecen CaaS, mientras que solo el 3% se centra en productos delictivos de tipo producto. Entre los tipos de CaaS, las categorías de «zombie / botnet como servicio», «mejora de la reputación como servicio» y «tráfico como servicio» representaron la mayoría (más del 60%) tanto de la oferta como de la demanda durante todo el período. . Al menos la mitad de cada producto CaaS dirige a los compradores potenciales a aplicaciones de mensajería instantánea o mensajes privados para transacciones privadas. Con todo, descubrimos que el foro de hecho proporciona un canal para satisfacer la oferta y la demanda de CaaS, pero solo vimos una pequeña parte del panorama de CaaS, y no hay evidencia en nuestros datos de que CaaS crecerá con el tiempo. Reflexionamos sobre el impacto de nuestros hallazgos en el desarrollo de estrategias de sabotaje efectivas por parte de los organismos encargados de hacer cumplir la ley.

Como parte del surgimiento de CaaS, el objetivo es comprender cómo los ciberdelincuentes comercian con nuevos servicios a través de foros criminales. Hemos observado algunos tipos diferentes de productos CaaS en el mercado de foros. De los 28 modelos de CaaS conocidos, solo 9 aparecen en el foro de HF y solo 3 dominan la oferta y la demanda: «bots / botnets como servicio», «mejora de la reputación como servicio» y «tráfico como servicio». La proporción de productos de servicio con respecto a otros productos de software delictivo se ha mantenido estable durante los últimos años. Nuestra evidencia no respalda la opinión generalizada de que CaaS está en aumento y la próxima evolución del delito cibernético. Por supuesto, esto puede suceder en otros foros. Las investigaciones futuras tendrán que confirmar esto, pero debemos tener en cuenta que los foros de piratas informáticos son uno de los foros criminales más grandes y antiguos de Internet. Si la evolución no se ve aquí, entonces puede que no sea tan ubicua como la gente suele asumir. Sí, puede haber algunos foros que sean más específicos de este nicho de mercado, pero debemos recordar que una de las promesas de CaaS es que baja las barreras de entrada para nuevos delincuentes y promueve sus actividades delictivas. Para producir este efecto de escala, las personas necesitan nuevos participantes para encontrar lugares donde puedan comprar estos servicios. Esto descartó foros más secretos y basados ​​en la confianza.

Reuniones en línea, por supuesto, no deberíamos generalizar demasiado nuestro análisis de un solo foro (aunque grande). Surge la pregunta, ¿dónde está ocurriendo el preocupante crecimiento en la oferta y la demanda de CaaS? Si no está en el foro, ¿en otros canales? Los otros dos canales son mercados clandestinos y sitios web personalizados. Sin embargo, en el mercado anterior, R. van Wegberg et al. [58] tampoco encontró evidencia de esta evolución. Para los sitios personalizados, sabemos que existen algunos ejemplos exitosos, como ciertos programas de arranque, pero también sabemos que este canal está plagado de fraudes y, a menudo, parece ofrecer productos menos complejos. En resumen, nuestros hallazgos indican que la aplicación de la ley puede necesitar reevaluar la prioridad actual otorgada a CaaS. Aunque existe evidencia anecdótica de 28 modelos CaaS, esta tendencia puede estar relacionada principalmente con amenazas específicas más que con todo el campo del ciberdelito. Otro hallazgo de nuestra investigación es demostrar que más de la mitad de las transacciones de delitos informáticos se procesan de forma privada a través de aplicaciones de mensajería y mensajes privados en foros. Con base en estos conocimientos, las LEA (agencias de aplicación de la ley) y los proveedores de aplicaciones de mensajería pueden utilizar para capturar estos puntos de contacto y eliminarlos, aumentando así los costos de transacción de los delincuentes que abusan de estas plataformas. En segundo lugar, el predominio de los productos de «mejora de la reputación como servicio» y «verificación de teléfono / texto como servicio» indica que los proveedores de servicios, desarrolladores de sitios web y proveedores de aplicaciones necesitan diseñar sistemas que puedan soportar este tipo de compromisos. Por último, pero no menos importante, el modelo que desarrollamos para el análisis muestra que los datos sobre los productos CaaS se pueden recopilar de foros para la inteligencia de amenazas. Por esta razón, también proporcionamos nuestros conjuntos de datos reales a investigadores de la industria, el gobierno y el mundo académico que lo soliciten.

Presentamos el primer estudio para medir longitudinalmente la prevalencia de un gran conjunto de ofertas de ciberdelincuencia como servicio (CaaS) en un gran foro de ciberdelincuencia. Además, también comparamos esto con las ofertas de tipo de producto y rastreamos el uso de la información de contacto en las publicaciones. Observamos que el 15,6% de las primeras publicaciones en la sección «Mercado» ofrece CaaS. Dentro de este conjunto, las categorías «bot / botnet como servicio», «escalamiento de reputación como servicio» y «tráfico como servicio» constituyen la mayor cantidad (más del 60%) para todo el período en términos de oferta y demanda. Cuando examinamos el análisis de series de tiempo de datos longitudinales, se ve que «bot / botnet como servicio» pierde su popularidad frente a la «escalada de reputación como servicio» después de 2013 y también frente a «piratas informáticos como servicio» después de 2015 a lo largo del tiempo. El WEIS 2021, 28-29 de junio de 2021, Conferencia en línea Ugur Akyazi, Michel van Eeten y Carlos H. Gañán, el número máximo de puestos comerciales fue superior a 20k por mes durante el período 2011-2012 y un descenso continuo con pequeños altibajos después del El pico también se nota en la Figura 9. A pesar de que estos pequeños aumentos coinciden con momentos en que algunos grandes mercados clandestinos se apoderaron de LEA o se cerraron en los meses finales de 2013, 2014 y 2017, no podemos decir con seguridad que estos cierres de mercado y La pérdida de la confianza del consumidor es la razón obvia de este repentino interés en los foros delictivos.

Una línea obvia para el trabajo futuro es aplicar nuestro modelo a diferentes foros en inglés y buscar evidencia de CaaS allí.

Foros «Safeskyhacks» y «Comunidad ofensiva» del crimen BB

El conjunto de datos son dos foros potenciales para estas futuras investigaciones, ya que también incluyen una sección de «Mercado». De acuerdo con el trabajo anterior, solo examinamos las primeras publicaciones de los hilos en la sección «mercado». El trabajo futuro podría investigar las siguientes publicaciones de los hilos relacionados con CaaS para comprender la retroalimentación de las ofertas de oferta y demanda. Examinar los proveedores que ofrecen CaaS también sería interesante para un estudio futuro. Finalmente, para verificar las transacciones reales en los foros, las fuerzas del orden pueden aprovechar los mensajes privados de los foros incautados que están relacionados con las ofertas de CaaS.