Investigadores de Check Point desarrollan una técnica para identificar a los programadores de exploits de las vulnerabilidades de día cero para Windows
Volodya y PalyBit crearon 15 de los 16 exploits de Windows LPE desarrolladas entre 2015-2019, incluyendo varias de día cero
Investigadores de seguridad de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder especializado en ciberseguridad a nivel mundial, han desarrollado una técnica para identificar a los programadores de los exploits de vulnerabilidades de software, incluyendo las de día cero, muy valoradas por los creadores de malware. Gracias a esta nueva herramienta, los investigadores de la compañía pueden reconocer el “estilo de escritura” del código malicioso de cada desarrollador. De esta forma, pueden detectar la presencia de exploits creados por estos programadores en familias concretas de malware, encontrar similitudes en las vulnerabilidades de día cero que llevan a cabo e incluso bloquear grupos de virus.
Gracias a este nuevo método, los investigadores de Check Point pueden identificar y rastrear a los programadores de exploits, lo que reduce el flujo de fallos de seguridad críticos de día cero, un tipo de vulnerabilidad para la que todavía no existe -o no se ha aplicado- un parche de seguridad. Los cibercriminales, que son expertos en encontrar este tipo de fallos de seguridad, escriben un código específico que permite explotar esta vulnerabilidad para luego vendérselo a otros grupos de cibercriminales que a su vez los utilizan para producir nuevo malware.
Utilizando este método de análisis, los investigadores de Check Point descubrieron el trabajo de “Volodya” (también conocido como “BuggiCorp”), uno de los programadores de exploits más activos en el Kernel de Windows. Los expertos de la compañía han podido rastrear 11 códigos diferentes creados por este ciberdelicuente, que lleva activo desde 2015, y que vende a clientes como Dreambot y Magniber, así como Turla y APT28, ligados a Rusia.
Por otra parte, los investigadores de Check Point identificaron a un segundo programador de exploits, conocido como “PlayBit” o “luxor2008”, que sólo vende códigos para vulnerabilidades críticas. La compañía ha podido encontrar 5 exploits diferentes desarrollados por él y que ha vendido a grupos como Revil o Maze, conocidos por crear potentes ransomwares.
«Esta investigación proporciona una visión de cómo funciona el mercado negro de exploits. Cuando encontramos una vulnerabilidad, demostramos su gravedad, informamos al proveedor correspondiente y nos aseguramos de que se arregla para que no represente una amenaza. Sin embargo, para los ciberdelicuentes que comercian con estos exploits, encontrar la vulnerabilidad es sólo el comienzo. Necesitan explotarla de forma fiable en tantas versiones de software y plataformas como les sea posible para poder sacar el máximo beneficio económico”, señala Itay Cohen, investigador de malware de Check Point. «Esta investigación explica cómo se logra ese hito. Creemos que esta metodología puede utilizarse para identificar otros programadores de exploits, por lo que desde Check Point animamos a todos los investigadores a que prueben nuestra técnica y la adopten como una herramienta adicional«, concluye Cohen.
. Leer artículo completo en Frikipandi Investigadores de Check Point desarrollan una técnica para identificar a los programadores de exploits de las vulnerabilidades de día cero para Windows.