El concepto de día cero como servicio (ZDaaS) podría estar a punto de ascender en la agenda del CISO, según una nueva investigación de Digital Shadows, que ha descubierto que los ciberdelincuentes están discutiendo cada vez más el potencial de un modelo según el cual el día cero los exploits se alquilan o alquilan a afiliados.
En su documento técnico Inteligencia de vulnerabilidad: ¿sabes dónde están tus defectos? El equipo de Digital Shadows descubrió que últimamente, las vulnerabilidades activas de día cero se han convertido en los artículos más caros anunciados en los foros de delitos cibernéticos de la web oscura, con precios que alcanzan los 10 millones de dólares en algunos casos.
Dijeron que si bien los desarrolladores de exploits ahora sienten claramente que pueden generar un rendimiento sustancial de su trabajo, puede llevarles mucho tiempo encontrar a alguien dispuesto o capaz de pagar una prima tan considerable.
Por lo tanto, alquilar el día cero puede ser un modelo más atractivo porque le permite al desarrollador generar algunos ingresos mientras espera una venta y también le da al arrendatario la oportunidad de probar antes de comprar, dijo el equipo.
La investigación de Digital Shadows llega inmediatamente después de los artículos de investigación publicados por Sophos y Trend Micro, que detallan la creciente escala de modelos de ciberdelito como servicio, que comenzaron con ransomware y se están filtrando a otras áreas de la economía sumergida. .
Esto es un problema, dijo el investigador de amenazas de Digital Shadows Stefano De Blasi, porque si el modelo ZDaaS se adopta con entusiasmo, y no hay ninguna razón por la que no debería ser así, habrá muchos más actores de amenazas motivados financieramente con amenazas peligrosas. herramientas en sus bolsillos traseros, causando un problema aún mayor para los defensores.
“La investigación del equipo sobre la comunidad de delincuentes cibernéticos activa en torno a las vulnerabilidades también ha pintado una imagen de un entorno explosivo, diverso y bien organizado de actores de amenazas con diferentes motivaciones y capacidades”, dijo De Blasi. “El mercado de día cero es fascinante debido a la presencia de actores de alto perfil, desarrolladores sofisticados y proveedores capaces”.
Sin embargo, es probable que esto sea solo la punta del iceberg, dijo. “La mayor parte de este entorno se caracteriza por un alto grado de cooperación e intercambio de recursos entre los ciberdelincuentes menos capacitados. Las vulnerabilidades más antiguas, las herramientas de escaneo de vulnerabilidades y los códigos de prueba de concepto constituyen la esencia de este mercado complejo “.
De hecho, en el día a día, la investigación del equipo de Digital Shadows descubrió que las vulnerabilidades más antiguas y más pasadas por alto siguen siendo muy valiosas para los ciberdelincuentes porque ofrecen una forma barata y eficiente de ingresar a los entornos de las víctimas y pueden ser explotadas por aquellos con menos habilidades. .
Esto concuerda con otras opiniones sobre el tema: a principios de 2021, la agencia CISA de EE. UU. Reveló que algunas de las vulnerabilidades más explotadas eran muy antiguas, destacando una, CVE-2012-0158, un error de Microsoft que se acerca a su décimo “cumpleaños”.
Según De Blasi, estos factores se combinan para hacer que la gestión eficaz de parches sea un verdadero dolor de cabeza para los equipos de seguridad, muchos de los cuales, según dijo, estaban “mal preparados” para defenderse de una “oleada” de vulnerabilidades.
El soporte administrativo deficiente, las estrategias de clasificación ineficaces y las prácticas de administración de activos incompletas están complicando aún más el entorno de TI enredado que los equipos de seguridad deben defender, dijo a Computer Weekly.
“El panorama de amenazas de vulnerabilidad se caracteriza por fallas recientemente reveladas y errores no reparados que a menudo se entrelazan en un entorno caótico”, dijo. “La inteligencia de vulnerabilidad proporciona los detalles adicionales que permiten a una empresa adoptar un enfoque basado en el riesgo para la corrección de vulnerabilidades.
“En mi opinión, la conclusión más importante de esta investigación es que el contexto es vital a la hora de informar los procesos de toma de decisiones. Si bien las calificaciones de gravedad pueden dar una idea de la importancia de una vulnerabilidad, los equipos de seguridad deben tener acceso a inteligencia personalizada para priorizar las acciones correctas y planificar estrategias de mitigación “.