Pesquisadores da Check Point desenvolvem técnica e identificam desenvolvedores de ataques zero day

Views: 111
0 0
Read Time:2 Minute, 23 Second

Eles desvendaram as identidades de dois autores – Volodya e PalyBit – responsáveis por 15 dos 16 ataques ao Windows LPE entre os anos de 2015 e 2019

João Monteiro

Os pesquisadores da Check Point Software Technologies, fornecedora de soluções de cibersegurança, desenvolveram uma técnica com a qual identificaram os desenvolvedores de ataques a vulnerabilidades de softwares, incluindo ataques de dia zero, amplamente disseminados por criadores de malware.

Para que novos malwares sejam criados, é necessário encontrar vulnerabilidades em softwares para os quais não existam ou não estejam em utilização patches ou soluções – as chamadas explorações de dia zero. Os desenvolvedores especializados na criação de explorações deste tipo procuram por essas vulnerabilidades, elaboram um código que lhes permitam se beneficiar das mesmas, procedendo, depois, à sua venda a outros cibercriminosos que, a partir do código comprado, constroem malwares. 

Os pesquisadores da Check Point descobriram um método que lhes permitiu identificar e rastrear desenvolvedores de exploits, com o objetivo de reduzir a quantidade de novos ataques de dia zero. Eles aplicaram as mesmas técnicas usadas para investigar autores de malware e grupos APT para desenhar um esboço digital composto do criador do exploit.  

Ao reconhecerem a “impressão digital” de desenvolvedores específicos, os pesquisadores foram capazes de: 

  • Detectar a presença de ataques criados por esses desenvolvedores em famílias de malware específicas. 
  • Detectar ataques adicionais produzidos pelo mesmo desenvolvedor, uma vez que compartilha uma “impressão digital” única. 
  • Bloquear todas as famílias de malware que utilizem um ataque anteriormente estudado e cuja a “impressão digital” já tenha sido identificada. 

Ao utilizar esse método de análise, foi possível aos pesquisadores da Check Point identificarem o trabalho de um dos desenvolvedores mal-intencionados mais ativos e predominantes para o Kernel do Windows, chamado “Volodya” e conhecido também por “BuggiCorp“. O Volodya vende códigos para explorar ataques de dia zero e vulnerabilidades críticas. 

Os pesquisadores da Check Point constataram que o Volodya estava ativo pelo menos desde 2015, identificando 11 códigos de exploração diferentes, elaborados para o Kernel do Windows. Resultado destes códigos, diferenciam-se nomes conhecidos do cibercrime, como o Dreambot e o Magniber, bem como famílias de malware como o Turla e o APT28, comumente associadas à Rússia. 

O segundo desenvolvedor e vendedor mal-intencionado identificado é conhecido por “PlayBit” ou “luxor2008”. Os pesquisadores constataram cinco explorações diferentes de autoria de PlayBit, as quais foram vendidas posteriormente a grupos de cibercrime como o REvil e Maze. Ambos são conhecidos por desenvolverem ransomware. 

Segundo a Check Point, a análise forneceu insights sobre a forma como funciona o mercado negro do cibercrime. A empresa acredita que esta metodologia de pesquisa pode ser utilizada para identificar outros desenvolvedores de exploits. 

FONTE: IP NEWS

Previous post Golpes com PIX vão de emails e sites falsos a anexos com malware
Next post Mercados na dark web evoluem apesar da polícia, afirma Europol

Deixe um comentário