Durante años, mercado gris Los servicios conocidos como hosts «a prueba de balas» han sido una herramienta clave para los ciberdelincuentes que buscan mantener anónimamente la infraestructura web sin hacer preguntas. Pero a medida que la policía global se enfrenta a tomar medidas enérgicas contra las amenazas digitaleshan desarrollado estrategias para obtener información del cliente de estos anfitriones y se han dirigido cada vez más a las personas detrás de los servicios con acusaciones. En la conferencia centrada en el delito cibernético Sleuthcon en Arlington, Virginia, hoy, el investigador Thibault Seret describió cómo este cambio ha empujado tanto a las compañías de alojamiento a prueba de balas y a los clientes criminales hacia un enfoque alternativo.
En lugar de confiar en los hosts web para encontrar formas de operar fuera del alcance de la aplicación de la ley, algunos proveedores de servicios han recurrido a ofrecer especialmente VPNS y otros servicios proxy como una forma de girar y enmascarar direcciones IP del cliente y ofrecer infraestructura que intencionalmente no registra el tráfico ni combina el tráfico de muchas fuentes juntas. Y aunque la tecnología no es nueva, Seret y otros investigadores enfatizaron que la transición al uso de proxies entre cibercrminales en los últimos años es significativa.
«El problema es que técnicamente no puede distinguir qué tráfico en un nodo es malo y qué tráfico es bueno», dijo Seret, un investigador del equipo de la firma de inteligencia de amenazas Cymru, a Wired antes de su charla. «Esa es la magia de un servicio de poder: no se puede decir quién es quién. Es bueno en términos de libertad de Internet, pero es muy difícil analizar lo que está sucediendo e identificar la mala actividad».
El desafío central de abordar la actividad cibercriminal oculta por los proxies es que los servicios también pueden, incluso principalmente, facilitar el tráfico legítimo y benigno. Criminales y empresas que no quieren perderlos, ya que los clientes se han apoyado particularmente en lo que se conoce «Proxies residenciales» Una variedad de nodos descentralizados que pueden ejecutarse en dispositivos de consumo, incluso teléfonos Android antiguos o computadoras portátiles de gama baja, ofreciendo direcciones IP reales y giratorias asignadas a hogares y oficinas. Dichos servicios ofrecen anonimato y privacidad, pero también pueden proteger el tráfico malicioso.
Al hacer que el tráfico malicioso parezca que proviene de direcciones IP de consumo confiables, los atacantes hacen que sea mucho más difícil para los escáneres de las organizaciones y otras herramientas de detección de amenazas para detectar actividades sospechosas. Y, de manera crucial, los representantes residenciales y otras plataformas descentralizadas que se ejecutan en hardware de consumo dispar, reducen la visión y el control de un proveedor de servicios, lo que dificulta que la aplicación de la ley sea más útil obtener algo útil.
«Los atacantes han estado aumentando su uso de redes residenciales para ataques en los últimos dos o tres años», dice Ronnie Tokazowski, investigador de estafas digitales desde hace mucho tiempo y cofundador de la inteligencia sin fines de lucro para siempre. «Si los atacantes provienen de los mismos rangos residenciales que, por ejemplo, los empleados de una organización objetivo, es más difícil rastrear».
El uso criminal de los proxies no es nuevo. En 2016, por ejemplo, el Departamento de Justicia de los Estados Unidos dijo que uno de los obstáculos en una investigación de los años de lo notorio La plataforma cibercriminal «Avalanche» fue el uso del servicio de un método de alojamiento de «flujo rápido» que ocultaba la actividad maliciosa de la plataforma utilizando direcciones IP proxy en constante cambio. Pero el aumento de los proxies como un servicio de mercado gris en lugar de algo que los atacantes deben desarrollar internamente es un cambio importante.
«Todavía no sé cómo podemos mejorar el problema de poder», dijo el equipo de Cymru a Wired. «Creo que la policía podría dirigirse a proveedores de proxy maliciosos conocidos como lo hicieron con los anfitriones a prueba de balas. Pero en general, los proxies son servicios de Internet completos utilizados por todos. Incluso si elimina un servicio malicioso, eso no resuelve el desafío más grande».
