“Dridex”, “Emotet” y “BitPaymer”: virus a la carta

La serie de ciberataques no se detiene. Las variedades de malware “Dridex”, “Emotet” y “BitPaymer” son viejos conocidos, aunque cambien de vestimenta muy seguido.

Mientras tanto, los kits para el ensamblaje de macrovirus como “Dridex”, “Emotet” y “BitPaymer” están disponibles en Internet.

Las empresas industriales latinoamericanas se ven reiteradamente afectadas por los ciberataques.

Solo a fines de octubre, una compañía de metalmecánica se apagó durante más de una semana. Las PC, los sistemas de pedidos y todas las comunicaciones en las 76 filiales afectadas en todo el mundo, quedaron inutilizadas.

Como causa de la infección se pudo identificar el ransomware “BitPaymer”

Ya a principios de 2019, la Agencia de Ciberseguridad de la UE (ENISA) publicó un informe sobre la presunta cooperación entre los ciberdelincuentes.

Los análisis de varias familias de malware indican que sus autores están en un intercambio de conocimientos.

Se encontraron similitudes notables de los vectores conocidos como “Dridex”, “Emotet” y también “BitPaymer”.

Solo por considerar “Dridex” y “Emotet” entre los muchos vectores bancarios, ambos se han centrado en la información de inicio de sesión de la banca en línea.

Muchos virus de macro se basan en el lenguaje de macro Visual Basic Script (VBS). VBS es una variante simple de Visual Basic para Aplicaciones (VBA).

“Dridex”, “Emotet” y “BitPaymer” vectores al alcance de casi todos

El script se introdujo junto con Windows Scripting Host (WSH) del sistema operativo Microsoft Windows 98 e Internet Explorer 5.0. Los sistemas operativos actuales de “Microsoft”, como Windows 7, 8 o Windows 10, continúan admitiendo el marco.

El malware instalado en la computadora infectada actúa inicialmente como un “cuentagotas”, que se puede utilizar para cargar, descargar o ejecutar software de cualquier tipo.

Todo a la vista

En la computadora local de un cliente bancario atacado, la información de inicio de sesión de la banca en línea se puede registrar mediante un keylogger.

La información se pasa al servidor de comando y control del atacante (C & C) a través de la botnet.

Esto puede incluir todos los datos de una autenticación de 2 factores según la nueva Directiva de la UE PSD2.

O las capturas de pantalla de las imágenes y videos en el navegador web.

Se introduce más malware a través de la botnet, por ejemplo “Locky” y “BitPaymer”, ambos son ransomware.

En el caso del ransomware, los atacantes prometen remediar el daño causado después de pagar un rescate.

El daño son los archivos cifrados regularmente en los sistemas informáticos atacados, que están controlados por la botnet.

El mercado del malware como Dridex

Después del anuncio de ENISA (La Agencia Europea de Seguridad de las Redes y de la Información), los programadores se acercan cada vez más al malware.

Pero el comportamiento de TI de los atacados, privados y en las empresas, es cada vez más similar.

El dominio de algunas plataformas y redes de hardware, software y redes sociales continúa sin cesar.

Las empresas y las personas usan las mismas rutinas. Un buen ejemplo es solo la correspondencia de correo electrónico habitual con documentos con capacidad macro en el sistema.

Las macros también permiten enmascararse en documentos sin tener mucho conocimiento de programación.

Para este propósito, los macro lenguajes se están volviendo cada vez más uniformes.

El lenguaje macro único debe ser utilizable en tantas aplicaciones como sea posible.

Este es un desarrollo bastante útil para una programación bien intencionada. Por otro lado, también favorece la migración de virus entre muchas aplicaciones diferentes.

Para una mejor comprensión, los macro idiomas usan instrucciones en una variedad de idiomas nacionales.

Sin embargo, con esta funcionalidad, los macrovirus pueden adaptarse a regiones específicas del idioma.

Las versiones más recientes de los lenguajes macro también ofrecen la opción de lenguaje independiente o traducir automáticamente declaraciones macro.

Estas simplificaciones ayudan tanto a los programadores buenos como a los maliciosos.

Para simplificar aún más la situación, los kits para el ensamblaje de macrovirus están disponibles en Internet.

Para tales mercados, la Darknet ofrece algunos foros aparentemente buenos para saber de vectores como Dridex.

La Darknet incluye partes encriptadas en Internet.

Por lo tanto, se forman áreas de red, que prometen navegación anónima con navegadores web apropiados. Esto también puede incluir actividades ilegales.

Con “VirusTotal” los cibercriminales cuentan con un portal gratuito en línea para hacer pruebas.

Las partes interesadas pueden cargar archivos allí y hacer que sean analizados por más de 70 programas antivirus y escáneres de malware. Existe evidencia de que los criadores de malware usan esta herramienta habitualmente.

Ahora debería analizarse lo que se conoce sobre los actores de “Dridex”. Es el comienzo de un pequeño viaje alrededor del mundo.

Algunos casos en una línea de tiempo muy lucrativa

En febrero de 2016, la incursión cibernética en el banco central de Bangladesh pasó a los titulares.

Finalmente, $ 101 millones desaparecieron de las cuentas del banco en Nueva York hacia Sri Lanka y Filipinas.

Los investigadores sospechan que un inicio de sesión robado con “Dridex” fue el punto de partida de las transferencias incorrectas.

En busca de los autores, los fiscales federales en los Estados Unidos también investigaron a Corea del Norte.

Además, se dice que los intermediarios chinos han ayudado con la transferencia de dinero.

De alguna manera, el caso criminal resultante es notable

Como tan a menudo, la epidemia ha sido pionera en los archivos adjuntos de correo electrónico. Las preferencias de voz y una ventana emergente activada por el navegador web se dirigían a los surfistas en los Estados Unidos y el Reino Unido.

En agosto de 2015, un mercader de virus fue arrestado mientras estaba de vacaciones en Chipre.

El ciudadano moldavo, también conocido como Smilex, tenía poco más de veinte años y era copropietario de una compañía de estaciones de servicio.

En febrero de 2016 fue entregado a los EE. UU.

Todavía no es común para las investigaciones cibernéticas, pero el FBI y los agentes de la ley de Gran Bretaña han cooperado estrechamente en este caso.

Finalmente, en diciembre de 2018, el acusado fue declarado culpable en un tribunal federal de EE. UU. Los jueces consideraron como comprobados los hechos de la conspiración y el daño de las computadoras con los medios de una botnet.

Después de un acuerdo con los fiscales, la persona condenada fue deportada directamente desde la prisión.

El castigo se resolvió en origen. En cualquier caso, el castigo podría haber sido significativamente mayor.

En el proceso, las autoridades investigadoras pueden querer evitar exponer demasiado sus métodos de investigación.

En cualquier caso, este fue el caso a principios de 2017 en el estado de Washington, donde se retiraron los cargos por usar pornografía.

Para mantener la demanda, los investigadores habrían tenido que revelar las técnicas utilizadas para recopilar las pruebas contra el acusado en la red Darknet Tor.

Colaboración cibercriminal, eficiencia en la acción

La colaboración de creadores de malware reportada por ENISA tendría algunas ventajas.

Las diferentes habilidades de los diseñadores se pueden utilizar de manera óptima. El tiempo de implementación se acorta.

Las revisiones por pares de los pares pueden ayudar a reducir o eliminar los errores de codificación.

La eficiencia aumenta con la colaboración

Las herramientas existentes se pueden usar para crear paquetes potentes listos para usar.

Los programas más avanzados también pueden ser más fáciles para generar una brecha.

Por lo tanto, las mismas fuerzas impulsoras están trabajando en cooperación, lo que también impulsa a los ingenieros en corporaciones multinacionales o en el mundo académico.

Sería ingenuo suponer que estos foros de malware no son también responsables, si no a veces son dirigidos por, los servicios de inteligencia relevantes.

Las revelaciones de Edward Snowden hacen que estas suposiciones sean bastante plausibles

Estos incluyen las indicaciones de que la NSA se infiltra en la red Tor y recopila las vulnerabilidades de varios fabricantes de computadoras.

Por lo tanto, los foros de malware se convierten en un taller donde los amantes de la informática, los mafiosos y los agentes de inteligencia de todo tipo trabajan juntos de forma anónima y pacífica.

En cualquier caso, existe un cierto grado de seriedad entre los constructores de “Dridex”.

Según los hallazgos de los investigadores de seguridad de “Symantec”, el grupo es en muchos aspectos rutinas similares a las de una empresa ordinaria.

Por ejemplo, la semana laboral es de lunes a viernes con horario normal de oficina. Y en Navidad todos festejan.

En las economías occidentales, las transferencias electrónicas de dinero juegan un papel importante.

Con transferencias falsas individuales, las personas pueden enriquecerse.

Una motivación tan, tan antigua como la humanidad

Sin embargo, una avalancha de transferencias de dinero falsificadas puede dañar masivamente todo el sistema de pago de una economía.

La pérdida de confianza en el sector financiero y quizás incluso en su propia moneda se sumarán al daño financiero.

Incluso el sistema financiero internacional puede ser desestabilizado.

Tal ataque, sin duda, puede ser la obertura o el acompañamiento de un acto de guerra.

…Y aquí los servicios de inteligencia deben volver al juego.

 

Por Marcelo Lozano – General Publisher IT Connect Latam