Avance en la identificación de autores de exploits de software para Windows

Recomendados:  La persistencia del ransomware Webinar Amenazas a las empresas en España durante la pandemia Leer

Expertos de la firma de seguridad Check Point han desarrollado una técnica para identificar a los programadores de los exploits de vulnerabilidades de software, incluidas las de día cero, muy valoradas por los creadores de malware. Gracias a esta nueva herramienta, pueden reconocer el “estilo de escritura” del código malicioso de cada desarrollador.

De esta forma, pueden detectar la presencia de exploits creados por estos programadores en familias concretas de malware, encontrar similitudes en las vulnerabilidades de día cero que llevan a cabo e incluso bloquear grupos de virus.

Con este nuevo método, Check Point puede identificar y rastrear a los programadores de exploits, lo que reduce el flujo de fallos de seguridad críticos de día cero, un tipo de vulnerabilidad para la que todavía no existe (o no se ha aplicado) un parche de seguridad. Los cibercriminales, que son expertos en encontrar este tipo de fallos de seguridad, escriben un código específico que permite explotar esta vulnerabilidad para luego vendérselo a otros grupos de cibercriminales que a su vez los utilizan para producir nuevo malware.

Utilizando esta técnica, los investigadores de la compañá descubrieron el trabajo de “Volodya” (también conocido como “BuggiCorp”), uno de los programadores de exploits más activos en el Kernel de Windows. Los expertos de la compañía han podido rastrear 11 códigos diferentes creados por este ciberdelicuente, que lleva activo desde 2015, y que vende a clientes como Dreambot y Magniber, así como Turla y APT28, ligados a Rusia. Por otra parte, los investigadores de Check Point identificaron a un segundo programador de exploits, conocido como “PlayBit” o “luxor2008”, que sólo vende códigos para vulnerabilidades críticas. La compañía ha podido encontrar 5 exploits diferentes desarrollados por él y que ha vendido a grupos como Revil o Maze, conocidos por crear potentes ransomwares.

Itay Cohen, investigador de malware de Check Point, explica que "esta investigación proporciona una visión de cómo funciona el mercado negro de exploits. Cuando encontramos una vulnerabilidad, demostramos su gravedad, informamos al proveedor correspondiente y nos aseguramos de que se arregla para que no represente una amenaza. Sin embargo, para los ciberdelicuentes que comercian con estos exploits, encontrar la vulnerabilidad es sólo el comienzo. Necesitan explotarla de forma fiable en tantas versiones de software y plataformas como les sea posible para poder sacar el máximo beneficio económico”.

La firma anima a todos los investigadores a que prueben la técnica.