Cómo está evolucionando el sombrío juego de ventas de día cero



Los vulns de día cero son fríos, mientras que el acceso como servicio está caliente. Así es como se reducen las ofertas del mercado negro (y del mercado gris).

Una de las historias de éxito del software package de la period de la pandemia de COVID-19 ha sido el servicio de videoconferencia Zoom. A pesar de que ya existe en un campo abarrotado de empresas emergentes y competidores maduros, Zoom se convirtió en un nombre common para cualquiera que se quede en casa para evitar el coronavirus. Pero a medida que Zoom crecía, también lo hacían las ventas en la Dark World-wide-web de vulnerabilidades de día cero en su software program.

Una vulnerabilidad de Zoom que permitía la ejecución remota de código en computadoras con Windows estaba supuestamente a la venta en la Darkish Website por $ 500,000. informó Vice en abril. Otra vulnerabilidad de día cero para Zoom en Mac confirmada por múltiples fuentes tenía un precio de la Dark World wide web más bajo pero supuestamente aún sustancial.

Todo el ecosistema del mercado negro de compradores, vendedores y corredores de acuerdos lleva a cabo sus negocios a través de una serie de acuerdos y apretones de manos digitales que la mayoría de la gente consideraría éticamente dudosos, dice Roman Sannikov, director de ciberdelito e inteligencia clandestina en la empresa de investigación de ciberseguridad Recorded Potential. Su equipo se enfoca en rastrear e investigar a actores criminales, extremistas no patrocinados por estados nacionales y hacktivistas.

Los hackers que quieren vender sus vulnerabilidades de día cero en el mercado negro tienen muchas razones para hacerlo, dice. Dependiendo de cuál sea la vulnerabilidad y para qué computer software, pueden ganar mucho más dinero que con una recompensa oficial por errores. También pueden querer dañar a la organización que mantiene el application o una organización que lo usa.

Pero el concepto de un hacker solitario que vende una vulnerabilidad a otro para facilitar el pirateo de una organización ya no es la transacción principal que Recorded Potential está observando en la Dim World wide web, dice Sannikov.

De las ventas de día cero al acceso como servicio
«Lo que realmente estamos viendo no es gente vendiendo vulnerabilidades, sino vendiendo el acceso que obtuvieron usando esas vulnerabilidades», dice.

Ese acceso se utiliza luego para implementar ransomware o malware, crear una botnet con el sistema informático de la empresa, robar información patentada, and so on. Debido a la pandemia mundial de COVID-19, Sannikov dice que ha habido un cambio importante hacia el acceso como servicio. donde el hacker o el grupo de hackers no roban datos por sí mismos. Lo compara con equipos especializados de ladrones que apuntan a una casa.

«El actor de la amenaza hace una llave que abre la puerta. Toma una foto (o captura de pantalla, del contenido del sistema) como prueba, luego vende o subasta ese acceso a otra persona. Esa persona revisará la casa, tal vez se vaya una especie de rastreador o dispositivo que recopilará más información, y la venderán «, dice. «Pero los investigadores no sabrán cuál es la vulnerabilidad a menos que obtengan la información del actor de la amenaza o compren la vulnerabilidad. Esta es la mercantilización y especialización del mercado».

No es sorprendente que la pandemia haya provocado un gran aumento en el tráfico de la Dark World-wide-web para las vulnerabilidades de día cero hacia la explotación de trabajadores remotos, dice Mike Fowler, director de servicios de inteligencia de amenazas de la empresa de defensa e investigación de ciberseguridad GroupSense.

«Cuando llegó COVID, lo hizo tan rápido que muchas (organizaciones) todavía están tratando de ponerse al día», dice. «Estamos viendo $ 100 por una cuenta que no es de administrador, a decenas de miles de dólares solo por el acceso a una cuenta de administrador».

El mercado negro y el mercado gris
Si bien las recompensas por errores representan la legitimación de transacciones entre organizaciones y piratas informáticos independientes (o equipos de piratas informáticos) que encuentran vulnerabilidades en su software y sitios world wide web de acuerdo con una serie de reglas de divulgación y son recompensados ​​por ello, los mercados de vulnerabilidades del mercado negro brindan información menos que ética. piratas informáticos con la oportunidad de vender días cero a tarifas que de otro modo no podrían exigir.

La tensión entre quién compra vulnerabilidades para explotarlas y quién compra vulnerabilidades para solucionarlas puede contribuir en gran medida a explicar cómo sigue prosperando el mercado common de vulnerabilidades. Si bien algunos compradores de vulnerabilidades que representan a desarrolladores de software package y organizaciones adquieren días cero de la Dark Net para parchearlos, la mayoría no lo hace porque los pagos son entre 10 y 100 veces más lucrativos para los vendedores, según al menos una estimación en 2017 de Universidad de la Reina de Belfast.

Además, la línea divisoria entre los estados-nación y las organizaciones de delitos informáticos que explotan las vulnerabilidades suele ser borrosa. Las fuerzas del orden y las agencias de inteligencia nacionales rara vez compran días cero o «acceso como servicio» en la Dark Website en su lugar, harán negocios con las llamadas empresas de «intercepción legal» como NSO Team, Gamma Intercontinental o Memento Labs.

Sin embargo, las empresas de interceptación authorized son controvertidas. Al Jazeera periodistas, productores, presentadores y ejecutivos tenían sus iPhones comprometidos por un iMessage de día cero explotado por los clientes del estado-nación del Grupo NSO, de acuerdo a una informe publicado por The Citizen Lab.

Las transacciones de días cero en la Dark Internet rara vez se realizan a la vista del público, dice un investigador de ciberseguridad de inteligencia de amenazas que monitorea tales acuerdos a diario. Solicitaron el anonimato para mantener ese acceso. La mayoría de los mercados de día cero, dice el investigador, son semiprivados o totalmente privados, y están dirigidos por intermediarios que quieren que los vendedores y compradores «construyan su reputación primero».

«La mayoría de ellos son comunidades rusas, o comunidades predominantemente de habla rusa», dice el investigador.

Algunos de los mercados son secciones de foros protegidas con contraseña para otros intercambios, como drogas o armas ilícitas.

«Algunos son muy sofisticados», dice el investigador. «Tienes que pagar $ 1,000 solo para ver los exploits y sus objetivos. Si alguien quiere vender un exploit, existen muchos riesgos para que no te estafen».

Eso incluye proporcionar al corredor de acuerdos una lista de referencias para establecer una buena fe de venta de vulnerabilidades, pagar la suma overall de la vulnerabilidad en una cuenta de depósito en garantía controlada por el corredor y proporcionar un fragmento de código para establecer la autenticidad de la vulnerabilidad. El corredor a menudo maneja las comunicaciones iniciales entre el vendedor y el comprador usando términos vagos para referirse a las organizaciones afectadas, como «una compañía Fortune 100» o «una purple corporativa que hizo $ 10 mil millones en negocios, con 1,200 empleados».

El precio del día cero depende del software que contiene la vulnerabilidad, dice el investigador: «Facebook, los exploits de iOS y Edge e World wide web Explorer son los más caros del mercado en este momento, debido a su popularidad en las organizaciones».

El impulso de ese comprador para adquirir vulnerabilidades y revenderlas, o incluirlas en cadenas de explotación más complicadas, continuará impulsando a los vendedores interesados ​​en los mercados de día cero durante los próximos años, dice Fowler. En última instancia, es un juego de números.

«El retorno de la inversión para los días cero en la Dark World wide web puede ser de millones de dólares», dice.

Seth es editor en jefe y fundador de The Parallax, una revista de noticias en línea sobre ciberseguridad y privacidad. Ha trabajado en periodismo en línea desde 1999, incluidos ocho años en CNET News, donde dirigió la cobertura de seguridad, privacidad y Google. Con sede en San Francisco, también … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original