El coste de los exploits de vulnerabilidades de ejecución remota de código asciende a 100.000 dólares de media
Entre enero de 2023 y septiembre de 2024, los expertos de Kaspersky Digital Footprint Intelligence identificaron 547 anuncios para comprar y vender exploits dirigidos a vulnerabilidades de software. Estos anuncios se publican en varios foros de la dark web y en canales clandestinos de Telegram, y la mitad involucra vulnerabilidades de día cero o un día. Sin embargo, es difícil confirmar si estos exploits son funcionales, ya que el mercado negro está plagado de estafas.
Los exploits son herramientas utilizadas por ciberdelincuentes para aprovechar vulnerabilidades en diversos programas de software, como los de Microsoft, para cometer actividades ilegales, tales como obtener acceso no autorizado o robar datos. Más de la mitad de las publicaciones en la dark web (51%) ofrecían o buscaban comprar exploits para vulnerabilidades de día cero o un día. Los exploits de día cero atacan vulnerabilidades no descubiertas que los proveedores de software aún no han identificado ni corregido, mientras que los exploits de un día se enfocan a sistemas que no han instalado el parche.
“Los exploits pueden atacar cualquier programa, pero los más deseados y costosos suelen enfocarse en software a nivel empresarial. Estas herramientas permiten a los ciberdelincuentes llevar a cabo ataques que les reportan grandes beneficios, como robar información corporativa o espiar a una organización sin ser detectados. Sin embargo, algunas ofertas de exploits en la dark web pueden ser falsas o incompletas, lo que significa que no funcionan como se anuncian. Además, es probable que una parte significativa de las transacciones ocurra en privado. Estos dos factores dificultan la evaluación del volumen real del mercado de exploits funcionales”, explica Anna Pavlovskaya, analista senior de Kaspersky Digital Footprint Intelligence.
Este año, el nivel máximo de ventas y compras de exploits ocurrió en mayo, con 50 publicaciones relevantes, en comparación con un promedio de aproximadamente 26 por mes durante el periodo en el que ha registrado este aumento. “Los picos en la actividad del mercado de exploits son impredecibles y difíciles de vincular a eventos específicos. Curiosamente, en mayo, la dark web fue testigo de la venta de uno de los exploits más caros durante el período analizado, supuestamente para una vulnerabilidad de día cero en Microsoft Outlook, con un precio de casi dos millones de dólares estadounidenses. En general, el mercado de exploits sigue siendo estable; aunque la actividad fluctúa, la amenaza siempre está presente. Esto resalta la necesidad de mantener prácticas de higiene cibernética, como la actualización y monitorización regular de activos digitales en la dark web”, añade Pavlovskaya.
El mercado de la dark web ofrece una amplia gama de diferentes tipos de exploits. Dos de los más comunes son aquellos para vulnerabilidades de Ejecución Remota de Código (RCE, por sus siglas en inglés) y Escalada de Privilegios Locales (LPE, por sus siglas en inglés). Según el análisis, el precio de media de los exploits de RCE ronda los 100.000 dólares aproximadamente, mientras que los exploits de LPE suelen costar alrededor de 60.000 dólares. Las vulnerabilidades de RCE se consideran más peligrosas, ya que permiten a los atacantes tomar el control de un sistema o sus componentes, o acceder a datos confidenciales.
Para contrarrestar las amenazas relacionadas con vulnerabilidades y exploits, las siguientes medidas son efectivas:
- Utiliza Kaspersky Digital Footprint Intelligence para monitorizar el mercado de la dark web en busca de ciberamenazas relevantes.
- Para proteger tu empresa contra una amplia gama de amenazas, utiliza las soluciones de la línea de productos Kaspersky Next. Ofrece protección en tiempo real, visibilidad de amenazas, capacidad de investigación y respuesta mediante EDR y XDR para empresas de cualquier tamaño e industria.
- Realiza evaluaciones de seguridad regulares para identificar y corregir vulnerabilidades antes de que se conviertan en puntos de entrada para los atacantes.