Este servicio ayuda a los autores de malware a corregir fallas en su código – Krebs on Safety


Casi a diario ahora hay noticias sobre fallas en el software comercial que hacen que las computadoras sean pirateadas y sembradas con malware. Pero la realidad es que la mayoría del software malicioso también tiene su cuota de agujeros de seguridad que abren la puerta para que los investigadores de seguridad o los que no lo hacen bien liberen o tomen el handle de los sistemas ya pirateados. Aquí hay un vistazo a un servicio de prueba de vulnerabilidad de malware de larga duración que es utilizado y administrado por algunos de los principales ciberdelincuentes de Dim World-wide-web.

No es raro que los delincuentes que venden ofertas de malware como servicio, como programas de troyanos y paneles de regulate de botnet, incluyan puertas traseras en sus productos que les permitan supervisar subrepticiamente las operaciones de sus clientes y extraer datos robados de las víctimas. Sin embargo, más comúnmente, las personas que escriben malware simplemente cometen errores de codificación que hacen que sus creaciones sean vulnerables al compromiso.

Al mismo tiempo, las compañías de seguridad están constantemente rastreando el código de malware en busca de vulnerabilidades que puedan permitirles mirar dentro de las operaciones de las redes delictivas, o arrebatar el handle sobre esas operaciones de los malos. No hay muchos ejemplos públicos de esta actividad antimalware, en parte porque vadea en aguas legalmente turbias. Más importante aún, hablar públicamente sobre estos defectos tiende a ser La forma más rápida de conseguir autores de malware para corregir cualquier vulnerabilidad en su código

Ingrese a servicios de prueba de malware como el operado por «Oso rojo«, El administrador de un sitio de seguridad en ruso llamado Negocio de Krober (.), que con frecuencia bloguea sobre debilidades de seguridad en las populares herramientas de malware.

En su mayor parte, las vulnerabilidades detalladas por Krober no se escriben hasta que son revisadas por el autor del malware, que ha pagado una pequeña tarifa por adelantado por una revisión del código que promete desenmascarar las puertas traseras y / o fortalecer la seguridad del cliente producto.

El perfil de RedBear en el xss (.) En ruso es el foro sobre delitos informáticos.

El servicio de RedBear se comercializa no solo para los creadores de malware, sino también para las personas que alquilan o compran program y servicios maliciosos de otros cibercriminales. Un punto de venta principal de este servicio es que, siendo delincuentes delincuentes, simplemente no se puede confiar en que sean completamente honestos.

«Podemos examinar su (o no exactamente) su código PHP en busca de vulnerabilidades y puertas traseras», dice su oferta en varios foros de ciberdelincuencia rusos prominentes. «Las opciones posibles incluyen, por ejemplo, paneles de administración de bots, paneles de inyección de código, paneles de regulate de shell, rastreadores de tarjetas de pago, servicios de dirección de tráfico, servicios de intercambio, computer software de correo no deseado, generadores de puertas y páginas de estafas, etc.»

Como prueba de la efectividad de su servicio, RedBear señala casi una docena de artículos sobre el negocio de Krober (.) Que explican en intrincados defectos detallados encontrados en herramientas de malware de alto perfil cuyos autores han usado su servicio en el pasado, incluyendo la Black Energy DDoS bot panel de administración paneles de carga de malware vinculados a la Fumar y Andrómeda cargadores de bot la RMS y Spyadmin troyanos y un script de escaneo de préstamos well known.

CAMAS ESTRANGULADAS

RedBear no opera este servicio por su cuenta. A lo largo de los años, ha tenido varios socios en el proyecto, incluidos dos ciberdelincuentes de alto perfil (o posiblemente solo uno, como veremos en un momento) que hasta hace poco operaban bajo el alias de los piratas informáticos «upO«Y»Lebrón. «

De 2013 a 2016, upO fue un jugador importante en Exploit (.) En – uno de los foros de ciberdelincuencia en ruso más activos y venerados en el mundo subterráneo – fue autor de casi 1.500 publicaciones en el foro y comenzó aproximadamente 80 hilos, principalmente centrados en malware . Durante aproximadamente un año a partir de 2016, Lebron fue uno de los principales moderadores en Exploit.

Uno de los muchos artículos que Lebron publicó en Krober (.) Biz que detallaba las fallas encontradas en el malware enviado al servicio de prueba de vulnerabilidad de RedBear.

En 2016, varios miembros comenzaron a acusar a upO de robar código fuente de proyectos de malware bajo revisión, y luego supuestamente usar o incorporar partes del código en proyectos de malware que comercializó a otros.

up0 eventualmente sería expulsado de Exploit por entrar en una discusión con otro contribuyente principal del foro, en el que ambos acusaron al otro de trabajar para o con las autoridades federales rusas y / o ucranianas, y procedieron a publicar información own sobre el otro que supuestamente reveló su verdadero -identidades de la vida.

El actor del delito cibernético «upO» en Exploit (.) A finales de 2016, quejándose de que RedBear se negaba a pagar una deuda que se le debía.

Lebron apareció por primera vez en Exploit en septiembre de 2016, aproximadamente dos meses antes de que upO fuera desterrado de la comunidad. Después de servir casi un año en el foro mientras creaba cientos de publicaciones e hilos (incluidos muchos artículos publicados por primera vez en Krober), Lebron desapareció abruptamente de Exploit.

Su partida fue precedida por una serie de acusaciones cada vez más descaradas por parte de los miembros del foro de que Lebron simplemente estaba usando un apodo diferente. Su publicación remaining en Exploit en mayo de 2017 indicaba en tono de broma que se estaba uniendo a un programa de afiliación de ransomware.

SUEÑOS DE RANSOMWARE

Según una investigación de la firma de inteligencia cibernética Intel 471, upO tenía un gran interés en el ransomware y se había asociado con el desarrollador del Cepa de ransomware Cerber, un programa de afiliación que funcionó entre febrero de 2016 y julio de 2017 que buscaba arrinconar el mercado cada vez más lucrativo y competitivo de las ofertas de ransomware como servicio.

Intel 471 dice que ha circulado un rumor en Exploit y otros foros hasta que frecuentaba que él period el autor intelectual detrás GandCrab, otro programa de afiliados de ransomware como servicio que apareció por primera vez en enero de 2018 y luego se jactó de extorsionar miles de millones de dólares de negocios pirateados cuando cerró la tienda en junio de 2019.

Varias compañías de seguridad e investigadores (incluido este autor) han concluido que GandCrab no desapareció exactamente, sino que cambió de marca para formar una oferta de ransomware como servicio más exclusiva denominada «Malvado«(También conocido como» Sodin «y» Sodinokibi «). REvil fue visto por primera vez en abril de 2019 después de ser instalado por una actualización de GandCrab, pero su programa de afiliación no se puso en marcha hasta julio de 2019.

El mes pasado, la imagen pública del programa de afiliados de ransomware REvil, un cibercriminal que se registró en Exploit en julio de 2019 con el apodo «UNKN«(También conocido como» Desconocido «): se encontró a sí mismo como blanco de un system de chantaje anunciado públicamente por un miembro del foro que afirmó haber ayudado a financiar el negocio de ransomware de UNKN en 2016, pero que había tomado un descanso del foro debido a problemas con la Ley.

Ese individuo, usando el apodo «Vivalamuerte«, Dijo que UNKN todavía le debía su dinero de inversión inicial, que según él ascendía a aproximadamente $ 190,000. Vivalamuerte dijo que divulgaría datos personales que revelen la identidad de la vida authentic de UNKN a menos que le paguen lo que dice que le deben.

En esta publicación de chantaje traducida por Google de Vivalamuerte a UNKN, el antiguo apodo de este último se abreviaba como «L».

Vivalamuerte también afirmó que UNKN ha utilizado cuatro apodos diferentes, y que el apodo con el que interactuó en 2016 comenzó con la letra «L». El apodo completo del acusado probablemente fue redactado por los administradores del foro porque una búsqueda en el foro de «Lebron» muestra la misma publicación aunque no es visible en ninguno de los mensajes amenazantes de Vivalamuerte.

Alcanzado por KrebsOnSecurity, Vivalamuerte se negó a compartir lo que sabía sobre UNKN, diciendo que el asunto aún estaba en arbitraje. Pero dijo que tiene pruebas de que Lebron era el codificador principal detrás del ransomware GandCrab, y que la persona detrás de la identidad de Lebron desempeña un papel central en la empresa de extorsión de ransomware REvil tal como existe hoy.


Etiquetas: Cerber, GandCrab, Intel 471, Krober, Lebron, servicio de prueba de malware, RedBear, rEvil, Sodin, Sodinokibi, UNKN, upO, Vivalamuerte

Esta entrada fue publicada el lunes 18 de mayo de 2020 a las 11:31 am y está archivada en A Small Sunshine, Ne&#39er-Do-Very well News, Internet Fraud 2..
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el last y dejar un comentario. Pinging no está permitido actualmente.





Enlace a la noticia original