A Fondo
Adiós al último “romántico”: APIs, intermediarios y malware
¿Cómo funciona el mercado de la venta de malware? ¿Cómo llega el mismo exploit a manos de grupos de cibercriminales que no parecen tener una conexión entre sí? ¿De qué forma colaboran los estados con los grupos de hackers privados? Una reciente investigación desarrollada por CheckPoint arroja algo de luz a este tema y pone en evidencia que el del “hacker clásico”, el “último romántico”, ya no queda ni rastro.
En “Graphology of an Exploit – Hunting for exploits by looking for the author’s fingerprints” los investigadores han analizado la actividad de dos de los grupos más prolíficos a la hora de desarrollar malware para Windows y que, entre otras cosas, pueden presumir de la creación de 16 exploits para el kernel de este sistema operativo, basados en la escalada de privilegios a partir de una cuenta de usuario normal. Algunos de los mismos eran ademásataques de día cero.
El informe muestra en primer lugar, que al analizar esas piezas de malware, es posible llegar hasta el grupo que lo ha desarrollado en primer lugar, comparando el tipo de “trabajo” que se ha ejecutado, con registros previos, y el histórico sobre actividades cibercriminales que las principales firmas de seguridad han asignado a los distintos grupos.
Pero tal vez y esto es lo más interesante, la investigación da una idea de la lógica económica y de negocio que mueve a los integrantes que forman parte del ecosistema cibercriminal. Habitualmente se tiende a pensar que cada pieza de malware ha sido desarrollada por una única persona o grupo. La realidad en cambio, no podría ser más diferente.
Malware y la producción en cadena
Como destacan los investigadores de CheckPoint, en realidad, el desarrollo de malware, especialmente en el más sofisticado, suele implicar la colaboración de varios grupos de hackers. Descubrir una posible vulnerabilidad, analizarla y desarrollar un exploit “listo para usar” requiere en muchos casos, una coordinación entre actores en las distintas fases de este proceso.
En este sentido, resulta cada vez más habitual que los desarrolladores de malware compartan una misma API que les permita integrar los distintos componentes del exploit que están desarrollando. Así, en el informe de la compañía de ciberseguridad, los investigadores afirman que “esta ‘apificación’ del malware no es exclusiva de los actores estatales, sino que cada vez más se encuentra en el mercado libre. Ya se trate de foros gratuitos, intermediarios que venden exploits, o empresas que venden herramientas sofisticadas a grandes clientes, todos proporcionan el correspondiente manual de instrucciones sobre cómo integrar el exploit en su malware particular”.
De esta forma, lo que se está detectando es que el autor de un código malicioso, pocas veces tiene ya que ver con quien finalmente lo acaba explotando. En muchas ocasiones, el grupo que se encarga de escribir el código, se “lava las manos” y se limita a vender el exlploit a otros grupos especializados en ataques phising o ransomware, de modo que gracias a esa apificación, puedan introducirlo de forma sencilla en su proyecto.
Entre los clientes de estos grupos de desarrolladores, CheckPoint ha detectado a grupos de cibercriminales bastante conocidos, como Ursnif (troyanos bancarios), GandCrab, Cerber y Magnifier (ransomware), Turla y APT28 (Amenazas Persistentes Avanzadas) o Buhtrap (ciberespionaje). ¿El motivo? Para muchos estados y grupos cibercriminales resulta más rápido e incluso barato acudir directamente a estos grupos, que dedicar todo el tiempo y esfuerzo que requiere desarrollarlos de forma interna.
Lo mejor de todo es que han encontrado un mercado de lo más diversificado. Mientras que los grupos que cuentan con el apoyo económico de un estado están más que dispuestos a pagar la (a veces astronómica) cifra que se suele pedir por un exploit de día cero, sobran los clientes dispuestos a pagar por ataques menos avanzados o que pagan una cantidad más modesta por vulnerabilidades que ya han sido reportadas, conocidas en los foros como de “día 1”. En muchos casos, suelen ser esos mismos ataques de día cero, que se revenden una vez han sido descubiertos. Hagan juego.
Snowflake anuncia Arctic, su propio modelo grande de lenguaje para empresas
Los 12 principales cursos y certificaciones sobre IA generativa
Dropbox añade cifrado de extremo a extremo e integraciones con Teams y Copilot
Ayesa sufre un ataque de ransomware
«El uso que hacemos de la IA es único en el mercado»
La computación cuántica en la nube da un paso más para garantizar la seguridad y privacidad
Menos visibilidad, falta de control o soporte técnico limitado: cómo superan las empresas estos desafíos del teletrabajo
Salesforce amplía el despliegue de IA con la llegada de Einstein Copilot a Tableau
Amazon invierte 2.750 millones más en Anthropic
«Es más importante regular casos de uso que modelos de IA»
Microsoft añade varias herramientas de seguridad y protección a Azure AI Studio
«Nuestra meta es que la IA sea una parte integral del trabajo de nuestros clientes»
Snowflake anuncia Arctic, su propio modelo grande de lenguaje para empresas
Cisco Webex AI Assistant, colaboración con IA para la oficina y los contact center
Microsoft añade varias herramientas de seguridad y protección a Azure AI Studio
Amazon invierte 2.750 millones más en Anthropic
«Nuestra meta es que la IA sea una parte integral del trabajo de nuestros clientes»
Microsoft Copilot se podrá ejecutar pronto en local en los PC según Intel
-
A FondoHace 6 díasCómo escoger la plataforma UEM más adecuada para tu empresa
-
NoticiasHace 7 díasLas tres principales recomendaciones para poner en marcha una estrategia de seguridad zero trust
-
A FondoHace 7 díasEmpresas con historia: Telefónica
-
NoticiasHace 7 díasMeta lanza Llama 3, la renovación de su modelo abierto de IA generativa