Investigadores de seguridad de Check Point Software Technologies Ltd. han desarrollado una técnica para identificar a los programadores de los exploits de vulnerabilidades de software, incluyendo las de día cero, muy valoradas por los creadores de malware. Gracias a esta nueva herramienta, los investigadores de la compañía pueden reconocer el “estilo de escritura” del código malicioso de cada desarrollador. De esta forma, pueden detectar la presencia de exploits creados por estos programadores en familias concretas de malware, encontrar similitudes en las vulnerabilidades de día cero que llevan a cabo e incluso bloquear grupos de virus.
Gracias a este nuevo método, los investigadores de Check Point pueden identificar y rastrear a los programadores de exploits, lo que reduce el flujo de fallos de seguridad críticos de día cero, un tipo de vulnerabilidad para la que todavía no existe -o no se ha aplicado- un parche de seguridad. Los cibercriminales, que son expertos en encontrar este tipo de fallos de seguridad, escriben un código específico que permite explotar esta vulnerabilidad para luego vendérselo a otros grupos de cibercriminales que a su vez los utilizan para producir nuevo malware.
Utilizando este método de análisis, los investigadores de Check Point descubrieron el trabajo de “Volodya” (también conocido como “BuggiCorp”), uno de los programadores de exploits más activos en el Kernel de Windows. Los expertos de la compañía han podido rastrear once códigos diferentes creados por este ciberdelicuente, que lleva activo desde 2015, y que vende a clientes como Dreambot y Magniber, así como Turla y APT28, ligados a Rusia.
Por otra parte, los investigadores de Check Point identificaron a un segundo programador de exploits, conocido como “PlayBit” o “luxor2008”, que sólo vende códigos para vulnerabilidades críticas. La compañía ha podido encontrar cinco exploits diferentes desarrollados por él y que ha vendido a grupos como Revil o Maze, conocidos por crear potentes ransomwares.
Deja un comentario