Malware não surge do nada. Para escrever um script malicioso, é necessário inicialmente que seu criador conte com um exploit, já que é chamado de segundo conjunto de código que tira proveito (“exploits”) de uma violação de segurança ainda não resolvida em um software. E neste vasto mundo de crimes cibernéticos, algumas pessoas se dedicam a encontrar vulnerabilidades críticas e vendê-las.
É o caso de dois misteriosos internautas rastreados e identificados por pesquisadores da empresa de segurança Check Point. Conhecidos simplesmente como Volodya e PlayBit, eles são acusados de se especializarem em encontrar vulnerabilidades de dia zero no Windows (ou seja, aquelas que Microsoft sabe da existência), crie exploits para tirar proveito deles e venda esses “kits prontos para uso” para qualquer um que queira criar seus próprios vírus ou ataques.
Volodya, também conhecido no submundo como BuggiCorp, vende exploits desde 2015 e seria responsável por pelo menos 11 códigos de exploit diferentes; esses scripts teriam dado origem a malware conhecido como Dreambot, Magniber e Turla. Além disso, acredita-se que ele tenha vendido alguns defeitos de dia zero para o APT28, um grupo de hackers do estado constantemente vinculado ao governo russo.
Igualmente astuto, o PlayBit criminoso (também conhecido como luxor2008) tem cinco exploits registrados, que resultaram em ransomwares altamente perigosos como Maze e REvil / Sodinokibi. Maze, é preciso lembrar, foi responsável por interromper diversos serviços da multinacional Canyon em agosto, até vazando alguns documentos confidenciais da empresa no processo.
Uma maneira única de hackear
A identificação só foi possível graças a um trabalho semelhante a uma análise grafológica: os pesquisadores decidiram analisar a fundo os feitos mais perigosos dos últimos anos e encontrar características comuns que pudessem ser atestadas como “assinaturas”, comprovando que foram escritas e comercializadas no mercado preto pelo mesmo indivíduo.
Imagem: Divulgação / Checkpoint
“Esta análise fornece informações raras sobre como funciona o mercado negro cibercrime. Quando a Check Point revela uma vulnerabilidade, demonstramos sua seriedade relatando-a ao fornecedor designado e garantindo que haja um patch para evitar que seja uma ameaça ”, explica Itay Cohen, pesquisador de malware da Check Point.
“No entanto, para as pessoas que comercializam essas fazendas, a história é completamente diferente. Para eles, encontrar uma vulnerabilidade é apenas o começo. Precisam explorá-lo em tantas versões de software e plataformas quanto possível, para poderem rentabilizar e assim obter a satisfação dos seus ‘clientes’ ”, acrescenta. Por causa de seu desempenho, os exploradores são sutis e preferem permanecer na escuridão total, sem ter um “nome para vigiar” como outros cibercriminosos.
“Também entendemos como essa satisfação é alcançada e como os compradores se comportam nesse mercado, que muitas vezes inclui agentes de Estados. Acreditamos que esta metodologia de pesquisa pode ser usada para identificar outros desenvolvedores de exploits ”, conclui Cohen.
Fonte: Canaltech
Tendência sem Canaltech:
