Conecta con nosotros

A Fondo

Adiós al último “romántico”: APIs, intermediarios y malware

Publicado el

¿Cómo funciona el mercado de la venta de malware? ¿Cómo llega el mismo exploit a manos de grupos de cibercriminales que no parecen tener una conexión entre sí? ¿De qué forma colaboran los estados con los grupos de hackers privados? Una reciente investigación desarrollada por CheckPoint arroja algo de luz a este tema y pone en evidencia que el del “hacker clásico”, el “último romántico”, ya no queda ni rastro.

En “Graphology of an Exploit – Hunting for exploits by looking for the author’s fingerprints” los investigadores han analizado la actividad de dos de los grupos más prolíficos a la hora de desarrollar malware para Windows y que, entre otras cosas, pueden presumir de la creación de 16 exploits para el kernel de este sistema operativo, basados en la escalada de privilegios a partir de una cuenta de usuario normal. Algunos de los mismos eran ademásataques de día cero.

MCPRO Recomienda

Estudio sobre ciberseguridad en la empresa española ¡Participa en nuestra encuesta y gana!
Garantiza la continuidad de tu negocio en el nuevo entorno de teletrabajo ¡Descárgate la guía!
Cloud computing: adopción, inversión y desafíos en la empresa ¡Descárgate el informe!

El informe muestra en primer lugar, que al analizar esas piezas de malware, es posible llegar hasta el grupo que lo ha desarrollado en primer lugar, comparando el tipo de “trabajo” que se ha ejecutado, con registros previos, y el histórico sobre actividades cibercriminales que las principales firmas de seguridad han asignado a los distintos grupos.

Pero tal vez y esto es lo más interesante, la investigación da una idea de la lógica económica y de negocio que mueve a los integrantes que forman parte del ecosistema cibercriminal. Habitualmente se tiende a pensar que cada pieza de malware ha sido desarrollada por una única persona o grupo. La realidad en cambio, no podría ser más diferente.

Malware y la producción en cadena

Como destacan los investigadores de CheckPoint, en realidad, el desarrollo de malware, especialmente en el más sofisticado, suele implicar la colaboración de varios grupos de hackers. Descubrir una posible vulnerabilidad, analizarla y desarrollar un exploit “listo para usar” requiere en muchos casos, una coordinación entre actores en las distintas fases de este proceso.

En este sentido, resulta cada vez más habitual que los desarrolladores de malware compartan una misma API que les permita integrar los distintos componentes del exploit que están desarrollando. Así, en el informe de la compañía de ciberseguridad, los investigadores afirman que “esta ‘apificación’ del malware no es exclusiva de los actores estatales, sino que cada vez más se encuentra en el mercado libre. Ya se trate de foros gratuitos, intermediarios que venden exploits, o empresas que venden herramientas sofisticadas a grandes clientes, todos proporcionan el correspondiente manual de instrucciones sobre cómo integrar el exploit en su malware particular”.

De esta forma, lo que se está detectando es que el autor de un código malicioso, pocas veces tiene ya que ver con quien finalmente lo acaba explotando. En muchas ocasiones, el grupo que se encarga de escribir el código, se “lava las manos” y se limita a vender el exlploit a otros grupos especializados en ataques phising o ransomware, de modo que gracias a esa apificación, puedan introducirlo de forma sencilla en su proyecto.

Entre los clientes de estos grupos de desarrolladores, CheckPoint ha detectado a grupos de cibercriminales bastante conocidos, como Ursnif (troyanos bancarios), GandCrab, Cerber y Magnifier (ransomware), Turla y APT28 (Amenazas Persistentes Avanzadas) o Buhtrap (ciberespionaje). ¿El motivo? Para muchos estados y grupos cibercriminales resulta más rápido e incluso barato acudir directamente a estos grupos, que dedicar todo el tiempo y esfuerzo que requiere desarrollarlos de forma interna.

Lo mejor de todo es que han encontrado un mercado de lo más diversificado. Mientras que los grupos que cuentan con el apoyo económico de un estado están más que dispuestos a pagar la (a veces astronómica) cifra que se suele pedir por un exploit de día cero, sobran los clientes dispuestos a pagar por ataques menos avanzados o que pagan una cantidad más modesta por vulnerabilidades que ya han sido reportadas, conocidas en los foros como de “día 1”. En muchos casos, suelen ser esos mismos ataques de día cero, que se revenden una vez han sido descubiertos. Hagan juego.

Periodista tecnológico con más de una década de experiencia en el sector. Editor de MuyComputerPro y coordinador de MuySeguridad, la publicación de seguridad informática de referencia.

Lo más leído

Suscríbete gratis a MCPRO

La mejor información sobre tecnología para profesionales IT en su correo electrónico cada semana. Recibe gratis nuestra newsletter con actualidad, especiales, la opinión de los mejores expertos y mucho más.

¡Suscripción completada con éxito!