La filtración de datos relacionados con la pandilla de ransomware como servicio Conti es un momento decisivo para la comunidad de seguridad de la información. Esta fuga de datos permite obtener información sobre ataques que antes se desconocían, la estructura organizativa detrás del grupo y cómo funcionaba la operación de malware.
Si bien los investigadores y analistas examinan el código fuente de Conti para construir defensas contra futuros ataques, es probable que la clandestinidad del cibercrimen también haya comenzado a examinar el código para su propio beneficio. Si bien los defensores pueden obtener información para proteger a sus organizaciones, los ciberdelincuentes a menudo usan filtraciones de código para mejorar su base de código de malware.
Esta no es la primera vez que se produce un volcado masivo de código fuente vinculado a una variedad prolífica de malware. Troyanos bancarios , botnets y ladrones de información, entre otros. Se han publicado filtraciones de código malicioso, solo para servir como base de código para futuras iteraciones de malware por parte de otros malos actores. Al examinar lo que sucedió después de filtraciones pasadas, las organizaciones pueden formular mejor estrategias de seguridad para defenderse de futuros ataques. Mirai
Mirai es una cepa notoria de malware que puede atraer diferentes tipos de dispositivos en red a una gran red de bots con el fin de lanzar ataques de denegación de servicio distribuido (DDoS). El malware está vinculado principalmente a un ataque lanzado en octubre de 2016 contra el proveedor de sistema de nombres de dominio (DNS) Dyn, que posteriormente provocó que las principales plataformas y servicios de Internet no estuvieran disponibles en Europa y América del Norte. Ese ataque fue posible porque semanas antes el código fuente de Mirai se filtró en el popular foro clandestino HackForums.
Si bien la versión de Mirai utilizada en el ataque Dyn no está en uso directo por parte de los ciberdelincuentes en la actualidad, se han creado muchas variantes de botnet utilizando el código fuente de Mirai, incluidos BotenaGo, Echobot, Gafgyt, Loli, Moonet, Mozi y Zeroshell. Todas estas botnets han estado activas desde el comienzo de la pandemia de COVID-19 a principios de 2020 y han seguido evolucionando a lo largo de 2021.
El código es tan influyente que incluso algunas de las ramificaciones de malware están comenzando a tener sus propias versiones de código liberadas y cooptadas por otros ciberdelincuentes. Por ejemplo: a principios de este año, el código fuente de BotenaGo se publicó públicamente en GitHub.
Dado que se prevé que el número total de dispositivos IoT conectados en todo el mundo sea de unos 30 900 millones para 2025 , la superficie de ataque de estas botnets seguirá creciendo, lo que significa que el código fuente público seguirá siendo la base de estas variantes de malware.
Zeus
Posiblemente la pieza de software delictivo más notoria de la última década, el malware ZeuS se lanzó públicamente en 2011 y pasó a impulsar una serie de otras variantes de malware que se vuelven notables por derecho propio. Todo un ecosistema de malware se apoyó con la versión 2.0.8.9 de ZeuS, lo que provocó una innumerable cantidad y diversas variedades de ataques.
Los siguientes son algunos ejemplos de malware que comparte funcionalidad, código fuente o ambos con ZeuS:
Ciudadela
Floki
Juego terminado
Terdot
Esfinge
Cargador Z
panda zeus
Estas variantes de malware se han utilizado junto con muchas otras en campañas de malspam , robo de información y entrega de ransomware , entre otros esquemas. Si bien ZeuS no fue la primera pieza de crimeware, su creación y su posterior uso generalizado provocaron la infección de millones de sistemas y el robo de miles de millones de dólares en todo el mundo, gran parte de lo cual fue posible gracias a la filtración del código fuente en línea.
Malware de Android
Las filtraciones de código fuente vinculadas al malware móvil no han seguido las mismas tendencias de desarrollo que los dos ejemplos anteriores. Si bien Mirai y ZeuS proporcionaron la base de código para muchas variantes de malware diferentes, el desarrollo de malware móvil basado en filtraciones de código fuente está mucho más fragmentado. Varios troyanos de Android más antiguos se utilizaron como base de código para otras piezas de malware. El código fuente de esas iteraciones particulares tendría entonces sus propias bases de código filtradas, con variantes de malware más nuevas unidas sobre variantes de malware filtradas anteriormente.
El siguiente gráfico muestra cómo se desarrolló el malware de Android a medida que se filtró el código fuente:
Esta no es una lista completa de malware para Android; existen muchas más variantes fuera de las mencionadas. Sin embargo, es un ejemplo escalofriante del desarrollo acelerado de los populares troyanos de Android impulsados en parte por la disponibilidad pública del código fuente una vez que estas variantes de malware se han convertido en amenazas establecidas. Babuk
Recientemente, los analistas de inteligencia de amenazas cibernéticas comenzaron a ver fugas de códigos de ransomware similares a otros programas maliciosos. Una de las filtraciones más notables fue el código fuente de Babuk, que se filtró en un foro de ciberdelincuencia en idioma ruso en septiembre de 2021.
Desde la filtración, no ha habido mucho desarrollo que pueda atribuirse directamente al código fuente de Babuk. Si bien Intel 471 ha observado a actores que publican el código fuente para descargarlo en varios foros clandestinos, no está claro si se han creado nuevas variantes de ransomware sobre este código. Otra versión de Babuk, conocida como "Babuk 2.0", apareció poco después de la filtración, pero no está claro si las bases del código coinciden. Además, parte de la infraestructura utilizada por Babuk, incluido su blog de nombre y vergüenza, se ha utilizado junto con otras variedades de ransomware. Más filtraciones, más malware
Si bien la comunidad de seguridad de la información todavía está revisando las filtraciones de Conti, es seguro suponer que los atacantes están haciendo lo mismo para iterar sobre las capacidades de su propio malware. Como ha demostrado esta publicación, si bien la fuga del código fuente del malware puede anular una variante, también sirve como trampolín para las variantes con las que las organizaciones se enfrentarán en el futuro.
Ignorar variantes de malware después de filtraciones de código fuente es un error. Si bien las organizaciones deben aprender de él, porque los atacantes ciertamente están avanzando en sus bases de código. Una vez que los atacantes han incorporado el código o su estructura, a menudo surge una serie de nuevas amenazas. Los defensores que preparan a sus organizaciones para una multitud de amenazas pueden evitar convertirse en objetivos a medida que los atacantes continúan desarrollando malware basado en estas filtraciones.
Fuente: https://intel471.com/blog/malware-source-code-leak-history?utm_campaign=SM_Blog-Content_2022_WW&utm_term=Malware&utm_content=202577507&utm_medium=social&utm_source=linkedin&hss_channel=lcp-3744600
Comments