¿Sabes hasta qué punto están especializadas y pueden coordinarse cada una de estas amenazas: BlackHole, ZeroAccess y RansomWare? En mi trabajo diario observo que, aunque cada una de ellas tiene un objetivo claro e individual, utilizadas de forma conjunta adquieren un grado de efectividad para los hackers impresionante. Es cierto que pueden cambiar a cada segundo, pero ahí va una descripción de cómo trabajan a día de hoy:
BLACKHOLE
Objetivo: obtener un listado de vulnerabilidades de las máquinas donde se ejecuta.
Cómo lo logra: cuando un usuario navega por una web se ejecuta el código de esta aplicación en su equipo y nos permite obtener un listado de vulnerabilidades del mismo.
Beneficio para el Hacker: Con Blackhole se abre una línea de negocio diferente: el “Malware as a Service”. Se puede contratar una suscripción para explotar este malware por horas, días, meses o incluso años.
ZEROACCESS
Objetivo: camuflarse o camuflar otras piezas de malware (estaría dentro de lo que conocemos como rootkit).
Cómo lo logra: Comenzó con una versión para sistemas de 32 bits donde se instalaba un controlador de acceso a disco y este cifraba una parte del mismo donde se alojaba evitando que el sistema operativo tuviera acceso a esta zona de disco.
Beneficio para el Hacker: es capaz de actuar como botnet ya que se puede comunicar con el exterior y recibir instrucciones precisas de lo que hacer en cada momento. Para esta comunicación con el exterior, utiliza un sistema P2P que hace más difícil identificar y cortar dichas comunicaciones.
RANSOMWARE
Objetivo: raptar el equipo o sus archivos y pedir un rescate por los mismos (conocido como el virus de la policía o de SGAE).
Cómo lo logra: Hay muchas versiones, algunas de ellas simplemente comprimían los archivos y ponían una contraseña, otras modificaban los datos (XOR) y las últimas cifran con AES256.
Beneficio para el Hacker: Una vez secuestrados los archivos, nos pedirá un rescate por los mismos. Pueden llegar a mandarte muestras de tus ficheros para dar fe de que pueden recuperarlos.
Como veréis, cada una de estas piezas de malware individualmente ya es peligrosa, más si tenemos en cuenta las técnicas de polimorfismo, ofuscación y mutaciones de cada una de ellas, ¡pero es realmente cuando trabajan de forma coordinada cuando observamos su verdadero potencial!
Si quieres saber cómo lo hacen, puedes leer el artículo completo que publicamos el 1 de Abril de 2013 en Security By Default.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: