Exploit Kits, o conviértete en un hacker

Negocios

Llevan tiempo entre nosotros y se han convertido en un lucrativo negocio. ¿Cómo funcionan los Exploit Kits? ¿Cuándo aparecieron? ¿Cuáles son los más populares?

Por más que se insista, a las empresas y usuarios aún les cuesta mantener actualizados sus sistemas; no sólo hablamos de los sistemas operativos, sino de los navegadores web y todos los programas y herramientas que se utilizan diariamente. Esta dejadez es lo que permite que muchos ciberdelincuentes recojan información sobre vulnerabilidades conocidas y terminen creando conjuntos de herramientas, o kits, que permiten fácil y rápidamente explotar esas vulnerabilidades, muchas veces a personas con mínimos conocimientos técnicos.

De hecho, estos kits de exploits, o Exploit Kits, se han convertido en un lucrativo negocio. Lo más habitual es que el kit incluya un interfaz de usuario muy fácil de manejar que ayuda a quien lo desee a lanzar un ataque. La facilidad de uso y su alcance es lo que hace que un kit sea más popular, tenga más usuarios y haga que su creador se convierta en millonario.

La inexistencia de fronteras cuando hablamos de Internet hace que perseguir este tipo de creaciones sea extremadamente complicado. Habida cuenta, además, de que quienes desarrollan los kits van con cuidado; lo normal es que un Exploit Kit se cree en un país, y se venda en otro, sea desde un tercero desde se use para lanzar el ataque hacia un cuarto, y en un quinto donde se localicen los servidores C&C; repartido de esta forma es complicado atribuir a nadie en concreto la actividad maliciosa.

Aunque los primeros Exploit Kits datan de los años ’90, fue en mayo de 2011 cuando la empresa danesa de seguridad CSIS Security Group anunció el descubrimiento de Weylan-Yutani, considerado la primera muestra comercial de un kit de exploit que permitía la creación de malware tanto para Mac como para PC. De forma que ha sido hace unos cinco años, cuando Zeus o Blackhole estaban en pleno apogeo, cuando se han convertido en un negocio que permite a un atacante comprar y descargar el kit, crear un ejecutables para explotar vulnerabilidades específicas y además añadir técnicas de evasión para los antivirus, establecer una infraestructura de comando y control (C&C) y empezar a enviar el malware a través de mensajes de spam o páginas web comprometidas. Llegados a esta punto la tarea del atacante se limita a monitorizar esos servidores C&C y recoger las credenciales comprometidas, para después venderlas o hacer uso de ellas.

La aparición de Blackhole y Zeus desató la demanda de herramientas de ataque automatizadas, sobre todo por su modularidad, que permitía añadir nuevas funcionalidades, como la posibilidad de transferir el dinero a determinadas cuentas bancarias, cambiar la localización de los ataques de manera automática, añadir exploits para nuevas vulnerabilidades recién descubiertas, etc.

Como es lógico, al tiempo que evolucionaban estos Exploits Kits, las empresas preparaban sus defensas. Para defenderse del malware se desplegaban controles antimalware; si los kits empezaban a incorporar herramientas de phishing o una página web comprometida, las empresas instalaban herramientas antiphishing y otras basadas en red capaces de bloquear malware e impedir la infección de los sistemas a partir de páginas web comprometidas. Y así se seguirá hasta el final de los tiempos; lo Exploit Kits seguirán evolucionando, se harán más y más sofisticados mientras las empresas buscan la manera de aumentar las defensas y reducir los riesgos.

Entre los Kits de Exploits más populares cabe mencionar a WebAttacker, Zeus, MPack, SpyEye, Neosploit, BlackHole, Nukesploit P4ck o Phoenix.

Exploit Kits

Image 9 of 9

Strike Exploit Kit
La llegada de Windows Vista y Windows 7 originó un nuevo Explot Kit. Su nombre Strike y entre sus características evitar funciones de inicio como el User Account Control para así poder propagarse copiándose en archivos Zip y RAR, superar el firewall y acceder a la red. Entre los objetivos de este kit está el robar números de serie de Windows y de otros programas instalados en el sistema infectado.


Leer la biografía del autor  Ocultar la biografía del autor