Cambios importantes en populares kits de exploits usados por delincuentes

Cuando hablamos de campa√Īas de propagaci√≥n de ransomware, malvertising o incluso env√≠o masivo de spam, muchas veces mencionamos los kits de exploits (o exploit kits) y su buena parte de responsabilidad en conseguir que estas campa√Īas maliciosas tengan √©xito. La existencia de estas herramientas ha permitido automatizar desde hace a√Īos muchos procesos y facilitan a los ciberdelincuentes realizar sus delitos.

Auge y popularidad de los kits de exploits

ANGLER ERA UN REFERENTE PORQUE INCORPORABA LOS EXPLOITS M√ĀS RECIENTES PARA APROVECHAR VULNERABILIDADES

Entre todos los kits de exploits existentes, siempre han destacado unos cuantos. Algunos de ellos llevan bastante tiempo entre nosotros, mientras que otros son unos recién llegados que están ganando popularidad. Sin embargo, todas estas herramientas se compran y venden en foros underground desde precios que varían entre unos pocos cientos de dólares a otros que ya se mueven en varios miles de dólares.

Estos precios suelen variar dependiendo de si se incluyen m√°s o menos funcionalidades, y es que los delincuentes han hecho de estas herramientas todo un sistema de negocio conocido tambi√©n como ‚ÄúMalware as a service‚ÄĚ. Esto significa que se pueden adquirir m√≥dulos adicionales o servicios que permiten a los clientes de estos packs criminales intentar evadir los sistemas de seguridad de sus v√≠ctimas. Incluso algunos de estos kits disponen de todo un servicio de soporte y asistencia que nada tiene que envidiar a muchas aplicaciones leg√≠timas.

Entre los kits de exploits más conocidos y usados encontramos nombres como Angler, Neutrino, Nuclear, Magnitude o Rig, por mencionar solo alguno de ellos. No obstante, desde hace tiempo,Angler se había convertido en un referente por ser uno de los que incorporaba los exploits más recientes para aprovechar vulnerabilidades de todo tipo y también por toda la infraestructura delictiva que lo apoyaba.

Angler desaparece de la escena

Sin embargo, en los √ļltimos d√≠as parece que ha habido cambios importantes, algo que todo un referente en la investigaci√≥n de este mundo cibercriminal y sus herramientas como es Kafeine ha publicado recientemente en su blog. Al parecer, Angler ha desaparecido casi por completode la escena desde el pasado 7 de junio, seg√ļn se observa al analizar las campa√Īas de malware que se han estado realizando durante los √ļltimos d√≠as.

Seg√ļn informa este investigador, durante la semana pasada ha ido observando c√≥mo varios grupos de ciberdelincuentes iban migrando sus campa√Īas desde Angler a otros kits de exploits, incluido alguno que hab√≠a permanecido leal a Angler desde hac√≠a a√Īos. Tras su sorpresa inicial, este investigador comenz√≥ a buscar referencias que apuntasen a Angler, encontrando muy pocas y datando la √ļltima de la noche del 6 al 7 de junio.

A partir de ese momento, otros kits de exploits como Rig o Neutrino tomaron el puesto de Angler, desde donde continuaron con sus actividades maliciosas que incluyen la propagación de diversas variantes de ransomware.

¬ŅCu√°l es el motivo?

Cuando se produce un suceso de este tipo es bastante frecuente que se dispare la rumorología, más aun cuando esta desaparición se ha producido de forma tan repentina. Algunos expertos apuntan a la detención de 50 miembros de una organización criminal rusa que utilizaba el malware Lurk para conseguir acceso remoto al ordenador de sus víctimas.

VARIOS GRUPOS DE CIBERDELINCUENTES MIGRAN SUS CAMPA√ĎAS DESDE ANGLER A OTROS KITS DE EXPLOITS

De hecho Kafeine apunta a la estrecha relación que tenía el malware Lurk con Angler, puesto que el primero utilizó módulos del segundo entre 2012 y principios de 2016. Es posible que con estas detenciones haya cierta precauciónpor parte de los delincuentes encargados de gestionar Angler y que hayan preferido echar el cierre antes de ser los siguientes en ser detenidos.

Parecer√≠a que algo se est√° moviendo en el mundo del cibercrimen que preocupa a aquellos actores que destacan sobre el resto. Hace unas semanas vimos c√≥mo los delincuentes detr√°s del ransomware Teslacrypt abandonaban el proyecto a pesar de ser una de las variantes con mayor actividad de los √ļltimos meses. Adem√°s, estaimprevista desaparici√≥n ha provocado que otros kits de exploits como Neutrino hayan aumentado sus precios debido a la desaparici√≥n de uno de sus mayores competidores.

Conclusión

Una noticia como esta nos sirve para demostrar la rapidez con la que se mueve el mundo del cibercrimen. Una organizaci√≥n como la que hab√≠a detr√°s del kit de exploits Angler puede desaparecer en apenas unos d√≠as sin ning√ļn motivo aparente. Por desgracia, hay otros grupos que est√°n dispuestos a ocupar su lugar y por eso se hace necesaria la lucha continua contra este tipo de bandas criminales que realizan empresas de seguridad como ESET y Fuerzas y Cuerpos de Seguridad del Estado.

Fuente:http://www.welivesecurity.com/