Las autoridades rusas han informado de la detención de un individuo que se cree es el autor del Kit de Exploit de la reciente amenaza BlackHole. Dicho kit está siendo ampliamente utlizado en la actualidad para socavar la seguridad de navegadores web y software popular, para infectar así com malware los PCs comprometidos. Algunos expertos anti-malware preconizan el arresto como una gran victoria para las Justicia y la lucha global contra el cibercrimen.
AVG estima que, cerca del 90% de todas las amenazas web que su antivirus detecta están relacionadas con BlackHole
El kid de exploit BlackHole toma ventaja de las vulnerabilidades encontradas en navegadores web y otro software popular como Java, Adobe Reader o Flash Player para, de forma sigilosa, descargar malware (ya sea Ransomware o troyanos bancarios) al ordenador de la víctima. Los cibercriminales instalan la aplicación maliciosa en los propios sitios web creados como anzuelo. Después engañan al usuario con cualquier excusa para que visite dicho sitio web, bien mediante enlaces incrustados en otras webs o mediante envíos masivos de correo fraudulento e ingeniería social.
El informe del arresto llegó primero a Twitter, donde Maarten Boone, investigador de seguridad del equipo danés Fox-IT (dedicado al estudio de ciencia forense digital) y Aleks Gostev, jefe del equipo de investigación en seguridad y análisis de Kaspersky Labs (Moscú) supieron mediante foros y cloacas de la red, que el conocido como "Paunch" estaba bajo custodia.
Además, un detective ruso se puso en contacto con el gobierno federal y anunció a Reuters que dicho sujeto estaba bajo custodia.
Cuando se preguntó si las autoridades rusas habían arrestado al autor de BlackHole, Soren Pedersen (portavoz de Europol, División Europa de Cibercrimen EC3) y su agencia respondieron vía email: "Europol/EC3 ha sido informado de que un sospechoso criminal de alto nivel ha sido arrestado". Europol ha pedido más datos a las autoridades rusas, que aún tienen pendiente elaborar y presentar un informe detallado al respecto.
Con Blackhole, cualquiera puede ser un Botmaster
Esta frase ilustra, de boca de un investigador, de qué estamos hablando. BlackHole es un Kit de crimeware especialmente popular entre los cibercriminales, en parte por estar formado por una extensa cadena de exploits y en parte porque ofrece a los compradores de la herramienta la posibilidad de añadir tareas más complejas en forma de mejoras, según afirman los experos de RSA First Watch. El Kit incluye un panel Web para maenjar y realizar seguimiento a las campañas iniciadas, proporciona actualizaciones regulares a los exploits y payloads y ofrece un servicio criptográfico para proteger la herramienta. Dicho así, parece que estemos hablando de cualquier software legal ¿verdad?
Victoria de la Justicia
El arresto de Paunch es particularmente significativo, ya que manda un mensaje muy claro a los cibercriminales, sobre todo a los desarrolladores de Kits de Exploit. Les hace ver que las autoridades y Cuerpos de seguridad del estado están tomando muy en serio el crimen digital y están realizando progresos (a paso lento pero firme).
Conviene celebrarlo pero no embriagarse de alegria, ya que normalmente es muy difícil cerrar organizaciones de este tipo. Esto se debe, principalmente, a su segmentación geográfica, llevando las investigaciones de un país a otro muchas veces, en bucles que parecen no tener fin.
Los expertos en materia de seguridad han dejado otras reflexiones que nos parecen interesantes. Un CISO (Chief Information Service Officer) de Seattle afirma que "Cargarse a Punch significa que todos estos que le siguen (cibercriminales) tendrán a partir de ahora mayores procupaciones y problemas. El riesgo para sus actividades definitivamente ascenderá".
Por su parte, Jerome Segura -investigador senior en Malwarebytes - observa que "el arresto podría originar una reacción en cadena que lleve a más arrestos y brechas"
El futuro
El arresto no quiere decir que las campañas existentes vayan a cesar inmediata y repentinamente o que los usuarios dejen de estar afectado. Pero los investigadores han destapado pistas que indican que las operaciones ordinarias del mencionado Kit BlackHole han sufrido un buen contratiempo. Por ejemplo, el servicio de criptografía incluído en el kit no funciona actualmente. Un investigador francés autodenominado "Kafeine" afirmó el día 8 de Octubre que los archivos del Kit relacionados con ataques en plataformas Java llevan 4 días sin actualizarse, cuando es sabido entre los estudiosos del mismo que, bajo el mandato de Punch, las firmas se actualizaban 2 veces por día .
La razón de su frecuente actualización no era otra que estar siempre "un paso por delante" de las compañías de antivirus y seguridad IT. Como apunta Jamie Blasco, de AlienVault Labs, la reciente carencia de actualizaciones significa que la tasa de éxito de Blackhole caerá muchos enteros, ya que dará a las compañías de seguridad mucho más margen para implementar sus actualizaciones.
La caída en su efectividad llevará a su vez a un menor uso de esta herramienta. Cabe recordar que, aunque el autor del Kit era quien controlaba el mismo, también se apoyaba en un grupo de desarrolladores, por lo que existe la posibilidad de que se reagrupen e intenten mantener la herramienta funcional. No está claro aún hasta que punto va a afectar la detención a las operaciones futuras de la herramienta, el tiempo lo dirá.
Otros Kits ocupan el espacio libre
Mientras esto supondrá una reducción en el número de campañas desarrolladas mediante BlackHole, un experto cauto pensaría que difícilmente esto va a cambiar demasiado el panorama del cibercrimen.
Esto es lo que sugieren desde Fortiguard Labs, si queda un espacio sin ocupar siempre habrá montones de Kits de exploit esperando a ocupar el lugar cedido por BlackHole. Debemos entender esto como una "industria", en la que la desaparición de una marca no significa que la industria desaparezca mientras el producto tiene salida.
Kafeine , nuestro anónimo francés, recuerda que Neutrino (otro popular Kit Exploit) ha incrementado su precio hasta los 10000 dólares por servidor/mes. También se prevee que otros kits como Stix aumenten su popularidad. Además, se está siguiendo la evolución de Cool Exploit Kit , otro popular (y caro) Kit Exploit que se supone fué creado por el arrestado Paunch.
Con los Exploit ocurre lo mismo que con las Botnet: cuando una cae, otra lo sustituye. Es por eso que, desde el punto de vista de la empresa, debemos seguir tomando ñas máximas precauciones. Mantener el entorno corporativo actualizado con parches que eviten vulnerabilidades, sobre todo en Java y Adobe Reader. Además debemos securizar correctamente otra vía de entrada, como son los navegadores web y sus complementos.
No han pasado ni 3 semanas desde la aparición de Android 4.4.3, cuando Google ya ha anunciado una nueva versión -Android 4.4.4.- para Kit Kat, que corrige una importante vulnerabilidad en la librería criptográfica OpenSSL. Google ya ha mandado imágenes de la nueva versión 25/06/2014
Hace poco estuvimos comentando algunos modelos de scam o timos electrónicos, que tenían como telón de fondo la Copa del Mundo de Brasil 2014. A pesar del desgraciado regreso de nuestra selección, muchos de vosotros quizá estéis interesados en seguir el resto de partidos 24/06/2014
Un 23% de empresas han sufrido pérdidas de información confidencial. Symantec ha puesto a nuestra disposición, un año más, su informe Insider sobre amenazas y costumbres de seguridad en las empresas, correspondiente a 2014 24/06/2014
Una joven chica de habla portuguesa (o quizá Brasileña) llamada Soraia Costa, se puso en contacto con un experto en seguridad cuyo nombre es Graham Cluley. El mensaje comenzaba con una foto "picante" de la chica, seguida de unas líneas de texto 20/06/2014
G Data ha descubierto un peligroso malware incrustado en el firmware de dispositivo de un teléfono Android. Se trata de un terminal de fabricación china y de bajo coste 19/06/2014
