Desarrollan una técnica para identificar a los programadores de exploits de las vulnerabilidades de día cero para Windows

Volodya y PalyBit crearon 15 de los 16 exploits de Windows LPE desarrolladas entre 2015-2019

Investigadores de seguridad de Check Point® Software Technologies Ltd. (NASDAQ: CHKP) han desarrollado una técnica para identificar a los programadores de los exploits de vulnerabilidades de software, incluyendo las de día cero, muy valoradas por los creadores de malware. Gracias a esta nueva herramienta, los investigadores de la compañía pueden reconocer el “estilo de escritura” del código malicioso de cada desarrollador. De esta forma, pueden detectar la presencia de exploits creados por estos programadores en familias concretas de malware, encontrar similitudes en las vulnerabilidades de día cero que llevan a cabo e incluso bloquear grupos de virus.

Gracias a este nuevo método, los investigadores de Check Point pueden identificar y rastrear a los programadores de exploits, lo que reduce el flujo de fallos de seguridad críticos de día cero, un tipo de vulnerabilidad para la que todavía no existe -o no se ha aplicado- un parche de seguridad. Los cibercriminales, que son expertos en encontrar este tipo de fallos de seguridad, escriben un código específico que permite explotar esta vulnerabilidad para luego vendérselo a otros grupos de cibercriminales que a su vez los utilizan para producir nuevo malware. 

Utilizando este método de análisis, los investigadores de Check Point descubrieron el trabajo de “Volodya” (también conocido como “BuggiCorp”), uno de los programadores de exploits más activos en el Kernel de Windows. Los expertos de la compañía han podido rastrear 11 códigos diferentes creados por este ciberdelicuente, que lleva activo desde 2015, y que vende a clientes como Dreambot y Magniber, así como Turla y APT28, ligados a Rusia. 

Por otra parte, los investigadores de Check Point identificaron a un segundo programador de exploits, conocido como “PlayBit” o “luxor2008”, que sólo vende códigos para vulnerabilidades críticas. La compañía ha podido encontrar 5 exploits diferentes desarrollados por él y que ha vendido a grupos como Revil o Maze, conocidos por crear potentes ransomwares. 

«Esta investigación proporciona una visión de cómo funciona el mercado negro de exploits. Cuando encontramos una vulnerabilidad, demostramos su gravedad, informamos al proveedor correspondiente y nos aseguramos de que se arregla para que no represente una amenaza. Sin embargo, para los ciberdelicuentes que comercian con estos exploits, encontrar la vulnerabilidad es sólo el comienzo. Necesitan explotarla de forma fiable en tantas versiones de software y plataformas como les sea posible para poder sacar el máximo beneficio económico”, señala Itay Cohen, investigador de malware de Check Point. «Esta investigación explica cómo se logra ese hito. Creemos que esta metodología puede utilizarse para identificar otros programadores de exploits, por lo que desde Check Point animamos a todos los investigadores a que prueben nuestra técnica y la adopten como una herramienta adicional«, concluye Cohen.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio