La agencia de transmisión de Canadá multa a la compañía detrás del malware Orcus


hacker.jpg

La agencia de transmisión de Canadá ha multado a una compañía con 115,000 dólares canadienses (aproximadamente 87,000 dólares estadounidenses) por vender malware.

La multa fue impuesta por la Comisión Canadiense de Radio Televisión y Telecomunicaciones (CRTC) a Orcus Systems, una compañía que vendió un troyano de acceso remoto (RAT) llamado Orcus.

Según una investigación realizada por el CRTC, junto con la ayuda de la división de ciberdelincuencia de la True Policía Montada de Canadá (RCMP), la empresa fue fundada en marzo de 2016 por un hombre con sede en Toronto llamado John Paul Revesz (también conocido como Ciriis McGraw, Armada, Angelis, entre otros alias) y un hombre alemán llamado Vincent Leo Griebel (también conocido como Sorzus).

Griebel desarrolló el malware y Revesz proporcionó internet marketing, ventas y soporte para el computer software.

En línea, el dúo afirmó proporcionar una herramienta de administración remota, equivalent a TeamViewer y otras aplicaciones de administración remota.

«La evidencia obtenida en el curso de la investigación permitió al Director de Cumplimiento y Cumplimiento (CCEO) concluir que el Orcus RAT no era la herramienta de administración típica que Griebel y Revesz afirmaron, sino que period, de hecho, un troyano de acceso remoto (RAT), un tipo conocido de malware «, dijo el CRTC la semana pasada.

El CRTC dijo que el dúo vendió y ayudó a actores maliciosos a instalar Orcus RAT sin consentimiento en las computadoras de otras personas.

Además, el dúo también ejecutó un servicio de Servidor de nombres de dominio dinámico (DDNS) que ayudó al malware a comunicarse con los hosts infectados sin revelar la dirección IP real del pirata informático.

Investigación criminal también en curso

La multa por CRTC es solo una parte de la investigación actualmente en curso en Canadá, y probablemente la menos severa. La RCMP presentó cargos penales contra Revesz El mes pasado, en noviembre.

El RCPM dijo que comenzaron una investigación y han estado rastreando Orcus Systems desde julio de 2016, cuando el Orcus RAT comenzó a aparecer en el radar de expertos en seguridad cibernética.

Este reportero fue el primero en publicar un artículo sobre el malware en julio de 2016, cuando el equipo de Orcus comenzó a publicitar el malware en un foro de piratería, y Orcus comenzó a distribuirse a través de campañas de malspam (correo no deseado malicioso).

Después del artículo, Revesz defendió el Orcus RAT en Twitter, alegando que su herramienta period una mera aplicación de administración remota, en contra de toda la evidencia disponible.

Los argumentos absurdos de Revesz, el uso de un seudónimo (Armada), una inclinación por la publicidad en los foros de piratería y un enfoque descuidado para lidiar con los informes de abuso no le ganaron ningún fanático o indulgencia en la industria de la seguridad cibernética.

Como resultado de estas disputas en Twitter, varios expertos en seguridad cibernética y compañías presentaron quejas ante las autoridades canadienses. Revesz tampoco pudo mantener su anonimato. Diez días después, el periodista de investigación Brian Krebs rastreado Armada (Revesz) y reveló su verdadero nombre y ubicación al mundo en basic.

Un informe de la firma de ciberseguridad Palo Alto Networks siguió un mes después, con una conclusión que clasificó firmemente a Orcus como malware, en lugar de una aplicación legítima, poniendo fin a los argumentos de Revesz en favor de un negocio legítimo. Citamos:

«Las personas detrás de Orcus están vendiendo la RAT publicitándola como una &#39Herramienta de administración remota&#39 bajo un negocio supuestamente registrado y alegando que esta herramienta solo está diseñada para uso comercial legítimo. Sin embargo, al observar las capacidades de las funciones, la arquitectura de la herramienta y la publicación y venta de la herramienta en foros de hackers, está claro que Orcus es una herramienta maliciosa y que su cliente objetivo son los ciberdelincuentes.«.

orcus-rat.png "src =" https://zdnet3.cbsistatic.com/hub/i/2019/12/20/8f100ec5-f4b9-4e5b-90cc-54b237f6d2a1/orcus-rat.png

Imagen: ZDNet

Las quejas de 2016 contra Orcus Technologies y su herramienta dieron como resultado que la RCMP abriera una investigación. El CRTC, el FBI y la Policía Federal de Australia se unieron en los años siguientes.

En marzo de 2019, la RCMP ejecutó una orden de arresto en la residencia de Rivesz, mientras la policía australiana ejecutaba órdenes separadas en toda Australia, supuestamente dirigida a compradores de Orcus RAT.

En HackForums, el lugar donde Revesz promocionó principalmente la RAT de Orcus, los usuarios se quejaron de ser asaltados después de la represión contra los compradores en marzo de 2019.

orcus-forum.png "src =" https://zdnet1.cbsistatic.com/hub/i/2019/12/20/2855e432-180f-43bf-8e18-cceae8f9013d/orcus-forum.png

Imagen: ZDNet

En un NoV (Aviso de infracción), el CRTC dijo que «obtuvieron una lista de compradores de Orcus RAT con sede en Canadá y en el extranjero», que ellos y otros investigadores planean seguir buscando.

Mientras que Revesz y su co-conspirador alemán crearon el Orcus RAT, los compradores del malware son tan culpables como los dos, siendo ellos quienes realmente infectaron a las víctimas.

A lo largo de los años, las firmas de ciberseguridad han informado que vieron a Orcus desplegado en las redes de grandes empresas, para ayudar con el robo de datos, o contra usuarios habituales, como una forma de adware y stalkerware.

Al ser un RAT, Orcus proporcionó acceso y control whole sobre un host infectado. Características incluidas:

  • Obteniendo privilegios administrativos
  • Grabar pulsaciones de teclas
  • Extraer contraseñas de otras aplicaciones
  • Activar la cámara net y el micrófono sin notificación
  • Instalar otras aplicaciones
  • Ocultar la presencia del malware en un sistema y muchos otros más.



Enlace a la noticia initial