Pesquisadores da Check Point identificam desenvolvedores de ataques de dia zero

Pesquisadores da Check Point identificam desenvolvedores de ataques de dia zero
ciberataque

Os pesquisadores da Check Point identificam desenvolvedores de ataques de dia zero contra o Windows. Segundo relato da Check Point® Software Technologies Ltd, eles identificaram os desenvolvedores de ataques a vulnerabilidades de softwares, incluindo ataques de dia zero, amplamente disseminados por criadores de malware. Ao reconhecerem a “impressão digital” de desenvolvedores específicos, os pesquisadores foram capazes de:

  • Detectar a presença de ataques criados por esses desenvolvedores em famílias de malware específicas;
  • Detectar ataques adicionais produzidos pelo mesmo desenvolvedor, uma vez que compartilha uma “impressão digital” única;
  • Bloquear todas as famílias de malware que utilizem um ataque anteriormente estudado e cuja a “impressão digital” já tenha sido identificada.

Para que novos malwares sejam criados, é necessário encontrar vulnerabilidades em softwares para os quais não existam ou não estejam em utilização patches ou soluções – as chamadas explorações de dia zero.

Os desenvolvedores especializados na criação de explorações deste tipo procuram por essas vulnerabilidades, elaboram um código que lhes permitam se beneficiar das mesmas. Depois, fazem a venda a outros cibercriminosos que, a partir do código comprado, constroem malwares.

Pesquisadores da Check Point identificam desenvolvedores de ataques de dia zero

Pesquisadores da Check Point identificam desenvolvedores de ataques de dia zero

Os pesquisadores da Check Point descobriram um método que lhes permitiu identificar e rastrear desenvolvedores de exploits, com o objetivo de reduzir a quantidade de novos ataques de dia zero. Eles aplicaram as mesmas técnicas usadas para investigar autores de malware e grupos APT para desenhar um esboço digital composto do criador do exploit.

Ao utilizar esse método de análise, foi possível aos pesquisadores da Check Point identificarem o trabalho de um dos desenvolvedores mal-intencionados mais ativos e predominantes para o Kernel do Windows , chamado “Volodya” e conhecido também por “BuggiCorp”.

O Volodya vende códigos para explorar ataques de dia zero e vulnerabilidades críticas. Os pesquisadores da Check Point constataram que o Volodya estava ativo pelo menos desde 2015, identificando 11 códigos de exploração diferentes, elaborados para o Kernel do Windows. Resultado destes códigos, diferenciam-se nomes conhecidos do cibercrime, como o Dreambot e o Magniber, bem como famílias de malware como o Turla e o APT28, comumente associadas à Rússia.

O segundo desenvolvedor e vendedor mal-intencionado é o “PlayBit” ou “luxor2008”. Os pesquisadores constataram cinco explorações diferentes de autoria de PlayBit, as quais foram vendidas posteriormente a grupos de cibercrime como o REvil e Maze. Ambos são conhecidos por desenvolverem ransomware.

Esta análise fornece insights raros sobre a forma como funciona o mercado negro do cibercrime. Quando a Check Point desvenda uma vulnerabilidade, nós demonstramos a sua seriedade, reportando-a ao fornecedor indicado e nos certificamos de que existe uma patch para evitar que represente uma ameaça.

Encontrar a falha é só o começo

Contudo, para os indivíduos que comercializam estas explorações, a história é completamente diferente. Para eles, encontrar uma vulnerabilidade é apenas o início. Eles precisam explorá-la no maior número possível de versões de softwares e plataformas. O objetivo é garantir a monetização. Assim, podem satisfazer seus ‘clientes’, afirma Itay Cohen, pesquisador de Malware na Check Point.

Também percebemos como alcançam essa satisfação e como se comportam os compradores desse mercado. Por outro lado, muitas vezes incluem agentes de Estados-nação. Nós acreditamos que esta metodologia de pesquisa pode identificar outros desenvolvedores de exploits. Nós recomendamos a outros pesquisadores que testem a técnica que sugerimos e a adicione ao seu conjunto de ferramentas, conclui Cohen.

Para saber mais detalhes sobre o método utilizado pelos pesquisadores da Check Point e a análise realizada, acesse o blog.