Después de un período tranquilo después de un aumento a finales de 2018 hasta principios de 2019 , el esquema de chantaje en línea conocido como estafas de sextortion está de vuelta en el radar y en aumento .

Según un informe de Digital Shadows , una empresa líder en ciberseguridad con sede en el Reino Unido que monitorea amenazas potenciales contra las empresas, hay varios recursos disponibles para alentar a los delincuentes novatos a una vida de extorsión. Estos recursos incluyen: acceso a credenciales filtradas de infracciones pasadas, herramientas y tecnologías que ayudan a crear campañas, capacitación de extorsionistas en línea y un tesoro de guías de extorsión de bricolaje que existen en la web oscura.

El informe también encuentra que estos extorsionistas y cómplices incipientes son incentivados con altos salarios si pueden enganchar objetivos de altos ingresos, como médicos, abogados o ejecutivos de empresas, información que se puede obtener al buscar en los perfiles de LinkedIn u otras cuentas de redes sociales. .

Con una serie de formas creativas para extraer dinero de los usuarios de Internet, el alto potencial de un pago considerable y muchas manos de delincuentes profesionales, no deberíamos esperar que las estafas de sextortion en línea se detengan (permanentemente) en el corto plazo. Simplemente pregúntele al Príncipe nigeriano qué tan bien va su retiro.

Para ver qué motiva a los actores de amenazas a adoptar estafas de sextortion como parte de su repertorio criminal, hicimos lo que hacen todos los buenos detectives cuando intentan abrir un caso: seguimos el dinero. Descubra lo que descubrimos en el camino iniciado por una sola campaña de sextortion.

El spam

Pudimos determinar varios esquemas de sextortion de Bitcoin que se implementan en la naturaleza, pero para esta publicación, analizamos su forma de distribución más común: correo no deseado.

El correo electrónico de sextortion, con su mensaje incrustado como un archivo de imagen, una táctica común para evitar los filtros de spam.

El texto completo de este correo electrónico dice:

Hola, esta cuenta ahora está pirateada! ¡Cambia tu contraseña ahora mismo! 
No has oído hablar de mí y es probable que no te sorprenda por qué razón estás leyendo esta carta, ¿verdad? 
Soy un hacker que descifró su casilla de correo electrónico y dispositivos no hace mucho tiempo. 
No debe intentar ponerse en contacto conmigo o tratar de encontrarme, es inútil, ya que le envié este mensaje usando SU cuenta que he pirateado. 
Configuré un programa especial en el sitio de videos para adultos (porno) y supongo que disfrutaste este sitio para pasar un buen rato (entiendes lo que quiero decir). 
Cuando ha estado viendo videos, su navegador de Internet comenzó a actuar como un RDP (Control Remoto) que tiene un keylogger que me otorgó la capacidad de acceder a su escritorio y cámara web.
En consecuencia, mi información de softwareobtainedall. 
Has escrito contraseñas en los recursos en línea que visitaste, ya las capté. 
Por supuesto, podría cambiarlos, o tal vez ya los haya cambiado. 
Pero no importa, mis actualizaciones de malware siempre necesitan datos. 
¿Qué he hecho realmente? 
Genere una copia de seguridad de todos sus sistemas. De todos los archivos y contactos personales. 
Formé una grabación de video de doble pantalla. La primera pantalla muestra la película que estabas viendo (tienes muy buen gusto, jaja …), y la segunda pantalla muestra la película desde tu cámara web. 
Que deberias hacer
Genial, en mi opinión, 1000 USD será un precio razonable por tu pequeño secreto. Hará su depósito por bitcoins (si no reconoce esto, busque «cómo comprar bitcoin» en Google). 
Mi dirección de billetera bitcoin: 
163qcNngcPxk7njkBGU3GGtxdhi74ycqzk 
(es sensible a cAsE, así que solo cópielo y péguelo). 
Advertencia: 
tiene 2 días para realizar el pago. (Tengo un píxel exclusivo para este correo electrónico, y en este momento entiendo que has leído este correo electrónico). 
Para controlar la lectura de un membrete las acciones en él, instalé un píxel de Facebook. Gracias a ellos. (Cualquier cosa que se use para las autoridades puede ayudarnos). En el caso de que no obtenga bitcoins, sin duda ofreceré sus archivos de video a cada uno de sus contactos, incluidos familiares, colegas, etc.
 

Hay muchas variaciones de este contenido de spam, pero todas siguen una plantilla similar: hemos pirateado su cuenta, tenemos pruebas en video de que visita sitios pornográficos y ve contenido sexual, y ahora exigimos el pago o publicaremos el video de ti al público. De hecho, Talos Security Intelligence & Research Group de Cisco pudo recuperar una plantilla de correo electrónico no deseado , que según dijeron los extorsionistas enviaron por error a sus objetivos.

La Electronic Frontier Foundation (EFF) también mantiene un registro actualizado de variantes de mensajes de sextortion de Bitcoin que puede consultar en esta publicación de blog .

A medida que seguimos el dinero en esta investigación, la única información relevante que necesitábamos del correo electrónico de sextortion era la dirección de Bitcoin, que en este caso es 163qcNngcPxk7njkBGU3GGtxdhi74ycqzk . Este es nuestro punto de partida.

La investigación

Para comprender mejor los próximos pasos en nuestra investigación, los lectores primero deben comprender los conceptos básicos de cómo funcionan la criptomoneda y la cadena de bloques.

El papel moneda y las monedas son para el mundo real y material, como lo es la moneda digital para el mundo electrónico en línea.

Bitcoin es una de las miles de monedas digitales disponibles en línea hasta la fecha. Específicamente, es una moneda virtual, porque es controlada por sus creadores y utilizada y adoptada por una comunidad virtual, y al mismo tiempo una criptomoneda, porque utiliza algoritmos de cifrado y esquemas criptográficos fuertes para garantizar su resistencia a la falsificación y al criptoanálisis.

La cadena de bloques, como su nombre lo indica, es una colección de bloques de datos que están unidos para formar una cadena. Este sistema, comúnmente comparado con un libro mayor, es utilizado por varias criptomonedas: Bitcoin es una de ellas. Cada bloque en una cadena contiene información sobre múltiples transacciones. Y cada transacción tiene un ID de transacción, o TXID. Debido a la forma en que las billeteras y los sitios de criptomonedas registran las entradas de Bitcoin en las direcciones, un solo TXID puede contener múltiples entradas en su registro.

Si bien los libros de contabilidad del mundo real son privados y exclusivos solo para organizaciones e individuos que mantienen registros financieros, la cadena de bloques en la que opera Bitcoin no lo es. Esto facilita que cualquiera, incluidos los investigadores de seguridad, busque transacciones de criptomonedas en línea utilizando herramientas disponibles públicamente, como un explorador de bloques.

En un bloque de Bitcoin, la información de la transacción incluye al remitente y al receptor, todos identificados por las direcciones de Bitcoin, y el monto pagado en Bitcoin.

Tenga en cuenta estos conceptos a medida que volvemos a la campaña de sextortion y navegamos por las trincheras de las transacciones de Bitcoin.

Ir con el flujo (Bitcoin a través de blockchain)

La dirección de Bitcoin en nuestro correo electrónico de sextortion , 163qcNngcPxk7njkBGU3GGtxdhi74ycqzk , en realidad tiene un pequeño historial de transacciones.

El breve historial de transacciones de 163qcNngcPxk7njkBGU3GGtxdhi74ycqzk

Sin embargo, pudimos observar más de cerca estas transacciones y descubrir direcciones adicionales, lo que nos permitió conocer mejor esta campaña en particular.

De acuerdo con de TXID 94c86a55bb3081312d6020e67202e8c93a43d897f4a289cc655c0e9e6d9e31b4 , el saldo de 0.25924622 BTC fue enviado a otra dirección Bitcoin, 3HXdb3HAw1wVzU9b7ZSigvGaStd8KoZ3zJ el 13 de marzo de 2019. Durante ese tiempo, este valor BTC era un valor aproximado de $ 1.000, que es la cantidad demandada en el correo electrónico rescate.

Este TXID también contiene 23 entradas adicionales de otras direcciones de Bitcoin, que probablemente también estén bajo el control de los mismos actores detrás de la campaña de distorsión sexual, a 3HXdb3HAw1wVzU9b7ZSigvGaStd8KoZ3zJ . Naturalmente, todos los valores de BTC de estas entradas se combinaron, totalizando 4.16039634 BTC (aproximadamente US $ 16,100 al momento de la investigación).

2 Las 24 entradas totales de otras direcciones de Bitcoin en un TXID. Tenga en cuenta que la mayoría de los valores de entrada son similares a los actores de demanda de rescate extorsionados de los objetivos.

Mirando de cerca a 3HXdb3HAw1wVzU9b7ZSigvGaStd8KoZ3zJ , descubrimos que tiene otras 11 transacciones que siguen un patrón similar al de la transacción que acabamos de revisar .

3HXdb3HAw1wVzU9b7ZSigvGaStd8KoZ3zJ y su historial de transacciones. Aquí se destaca el TXID 94c86a55bb3081312d6020e67202e8c93a43d897f4a289cc655c0e9e6d9e31b4 antes mencionado.

Podemos confirmar que cada una de estas transacciones contiene fondos extorsionados. Tomemos, por ejemplo, TXID b8ae16d604947f67d2b27774e6cfa7afcdb7ede651bdd539b5a5dc555be302aa :

Entradas dentro de TXID b8ae16d604947f67d2b27774e6cfa7afcdb7ede651bdd539b5a5dc555be302aa

Se ha informado que todas las direcciones de Bitcoin en este TXID están asociadas con actividades delictivas en Bitcoin-Spam , una base de datos pública de direcciones de cifrado utilizadas por piratas informáticos y delincuentes. Aquí hay enlaces a sus respectivos informes de estafa y la cantidad de dinero que recibieron según el precio de Bitcoin al momento de escribir esto:

El análisis posterior a la dirección de consolidación se vuelve difícil a medida que los ladrones comienzan un proceso de lavado para ocultar sus ganancias ilícitas al dividir y mezclar los fondos robados.

Esta campaña de estafa en particular parece haber sido más activa entre el 1 de febrero de 2019 y el 13 de marzo de 2019, recaudando un total de 21.6847451 BTC, que es un poco más de US $ 220,000 a los tipos de cambio actuales.

Dinero dinero dinero

Cuando se trata de estafas de sextortion por correo electrónico, es suficiente decir que, desafortunadamente, los negocios son increíblemente buenos . Si bien la simplicidad y la rentabilidad de la estafa pueden servir como una invitación para los posibles delincuentes, cuanto más usuarios se den cuenta del esquema, menos estaremos cubriendo los bolsillos de los malos con nuestra criptomoneda.

Pero lo más importante, esta debería ser una llamada de atención para los usuarios. Mucha gente, incluso aquellos que se consideran conocedores de Internet, están cayendo o son sacudidos por los mensajes de extorsión, especialmente aquellos correos electrónicos que usan contraseñas antiguas para asustar a las personas inocentes para que se separen de su dinero.

Si usted o alguien que conoce puede haber recibido correos electrónicos de distorsión sexual, sepa que es muy probable que no lo estén mirando . Lo que los actores de amenazas describen en sus correos electrónicos no está ocurriendo realmente.

Además, no se asuste. Haga su debida diligencia y cuentas seguras que se hayan visto afectadas por incumplimientos masivos en el pasado (si aún no lo ha hecho). Y, por último, si desea hacer el menor salto posible, simplemente elimine el correo electrónico y archívelo en su mente como spam inofensivo