Investigadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, desenvolveram uma técnica que permite identificar os programadores de ataques a vulnerabilidades de softwares, incluindo ataques zero-day, amplamente disseminados por criadores de malware. Ao reconhecer a “impressão digital” de programadores específicos, os investigadores foram capazes de:

Detetar a presença de ataques desenvolvidos pelos programadores em famílias de malware específicas
Detetar ataques adicionais desenvolvidos pelo mesmo programador, uma vez que partilham uma impressão digital única
Bloquear todas as famílias malware que utilizem um ataque já estudado e cuja “impressão digital” já tenha sido identificada

Para que novos malwares possam ser criados, é necessário encontrar vulnerabilidades em softwares para os quais não existam ou não estejam em utilização patches ou soluções – as chamadas explorações zero-day. Os programadores especializados no desenvolvimento de explorações deste tipo procuram por estas vulnerabilidades, elaboram um código que lhes permita beneficiar das mesmas, procedendo, depois, à sua venda a outros cibercriminosos que, a partir do código comprado, constroem malware.

Investigadores da Check Point descobriram um método que permite identificar e localizar programadores de explorações, com o objetivo de reduzir a quantidade de novos ataques zero-day. Os investigadores desvendaram elementos identificativos únicos que, mediante a análise de códigos e suas características específicas, podem ser associados com os programadores que os desenvolveram.

Utilizando estes métodos de análise, foi possível aos investigadores da Check Point desvendar o trabalho de um dos programadores maliciosos mais ativos e prevalentes para o Kernel do Windows , chamado “Volodya” e conhecido também por “BuggiCorp”. O Volodya vende códigos por explorar para ataques zero-day e vulnerabilidades críticas. Os investigadores da Check Point descobriram que o Volodya estava ativo pelo menos desde 2015, identificando 11 códigos de exploração diferentes, elaborados para o Kernel do Windows. Fruto destes códigos, distinguem-se nomes conhecidos do crime cibernético, como o Dreambot e o Magniber, bem como famílias malware como o Turla e o APT28, comumente associados à Rússia.

O segundo programador e vendedor malicioso identificado é conhecido por “PlayBit” ou “luxor2008”. Os investigadores da Check Point identificaram 5 explorações diferentes da autoria de PlayBit, que foram depois vendidos a grupos de cibercrime proeminentes, como o REvil e Maze. Ambos são conhecidos por desenvolver ransomware.

“Este estudo fornece insights raros sobre a forma como funciona o mercado negro do cibercrime. Quando a Check Point desvenda uma vulnerabilidade, nós demonstramos a sua seriedade, reportamo-la ao fornecedor indicado e certificamo-nos que existe uma patch, para evitar que represente uma ameaça. Contudo, para os indivíduos que comercializam estas explorações, a história é completamente diferente. Para eles, encontrar uma vulnerabilidade é apenas o início. Eles precisam de explorá-la no maior número de versões de softwares e plataformas possível, de modo a monetizá-la e, assim, obter a satisfação dos seus clientes”, afirma Itay Cohen, Investigador de Malware na Check Point. “Esta análise fornece insights também sobre como é que essa satisfação é alcançada, e como se comportam os compradores desse mercado, que muitas vezes incluem agentes de estados-nação. Nós acreditamos que esta metodologia de pesquisa pode ser utilizada para identificar outros programadores de explorações. Recomendamos outros investigadores a testar a técnica que sugerimos e adicioná-la ao seu arsenal de ferramentas” conclui Cohen.

Tags: hackers malware