Conecta con nosotros

A Fondo

¿Guerra entre los cibercriminales?

Publicado el

matrix

A medida que los métodos de los ciberdelincuentes se han sofisticado la competencia entre los mismo ha aumentado. Tal es el nivel de rivalidad que ahora los ciberdelincuentes utilizan complejas artimañas para hacerse con la información robada. Sophos desvela cómo algunos de los “malos” promocionan herramientas que favorecen el cibercrimen con el objetivo de infectar a sus competidores con otros programas maliciosos.

Un ejemplo de esta guerra ha sido descubierto por la compañía al identificar algunos ciberdelincuentes bajo alias como Pahan, Pahann, Pahan12 y Pahan123 ofertando programas para impulsar el cibercrimen, pero que a su vez instalaban softwares maliciosos en los ordenadores de sus competidores con el fin de robarles la información.

El procedimiento consistía en ofrecer estos programas en sitios populares entre los ciberdelincuentes, como LeakForum u Offensive Comunity que, al mismo tiempo, ha revelado que se dedicaban a este tipo de actividades desde hace algunos años con el objetivo de tener un efecto superior al ransonware.

Evitar soluciones antimalware

En 2015, Pahan ofrecía una herramienta de malware de cifrado llamada Aegis Crypter para evitar las soluciones antimalware. Esta herramienta incluía su propio ingrediente secreto: un troyano zombi llamado Troj/RxBot que conectaba ordenadores infectados con un servidor IRC desde el cual se podían enviar órdenes de forma remota a una red de zombis.

En marzo de 2016, Pahann estaba promoviendo una versión de su toolkit de KeyBase, que podía ser utilizado para generar archivos keyloggers. Este kit estaba también infectado como una especie de “triángulo de malware” que instalaba un programa llamado COM Surrogate que a su vez liberaba un zombie Troyano  (RxBot) y un keylogger (Cyborg).

La última argucia detectada por Sophos ha sido la relacionada con el troyano de acceso remoto denominado SLICK RAT que descargaba el malware keylogger de KeyBase para hacerse con las contraseñas robadas por otros cibercriminales.

Estas contraseñas robadas son la puerta de acceso para llevar a cabo ciberataques a empresas. En estos casos, se suele usar un email corporativo de manera fraudulenta para solicitar una transferencia bancaria “oficial”. Las cantidades solicitadas pueden llegar a alcanzar cantidades de hasta 100.000 dólares o más, argumentando que se necesita el dinero de manera urgente para solucionar un momento crítico para la empresa.

Suponemos que los ciberdelincuentes intentaban fortalecer su presencia en la Deep Web y así ganar mercado a sus competidores. Está demostrado que existe una guerra entre ‘los malos’”, explica Alberto Ruiz, ingeniero preventa de Sophos Iberia. De momento, los ciberdelincuentes que se escondían bajo los alias de Pahan, Pahann, Pahan12 y Pahan123 han sido descubiertos. “Creemos que se infectaron de alguna manera con una o más muestras de sus propias piezas de malware, y aunque ahora se conoce cuáles son sus trucos, sabemos que volverán a cambiar de identidad para seguir realizando nuevamente este tipo de prácticas”.

Lo más leído