Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 12 de agosto de 2009

Los precios del crimeware ruso. Parte 2

Las actividades delictivas de las cuales cotidianamente se alimentan los ciber-delincuentes a través de un modelo de negocio implantado por ellos mismos, se canalizan a través de la comercialización clandestina que ofrecen “servicios” cada vez más profesionales que se adaptan a las necesidades del ciber-crimen organizado.

En consecuencia, día a día surgen nuevas aplicaciones crimeware destinadas a acrecentar la economía de los ciber-delincuentes, sea cual fuese el rol que cumplen dentro de la cadena delictiva. Algunos de esos crimeware se reflejan a continuación, destacando el costo que poseen dentro del mercado clandestino.

CRUM Cryptor Polymorphic v2.6
Se trata de un aplicativo del tipo Crypter. Su característica principal radica en la capacidad de generar malware polimórfico cifrando cada archivo creado con una clave aleatoria de 256 bytes. También ofrece la posibilidad de someter el malware a procesos anti-análisis como la detección de máquinas virtuales. Su costo es de USD 200 e incluye actualizaciones posteriores de forma gratuitas.

CRUM Joiner Polymorphic v3.1
En este caso, la función principal radica en la capacidad de fusionar archivos de cualquier tipo sin límite en cuanto a la cantidad. Al igual que el anterior permite someter el binario a un proceso de cifrado de 256 bytes, con capacidades polimórficas y detección de máquinas virtuales. Su precio es de USD 100 y las actualizaciones son gratuitas.

Más información sobre esta familia de crimeware.

Eleonore Exploits Pack v1.2
Eleonore es un paquete de explotación de vulnerabilidades y control de redes zombis. El costo de la última versión es de USD 700. Por un costo adicional de USD 50 se accede a su crypter.

Por defecto, el crimeware se encuentra vinculado a una serie de dominios; sin embargo existe la posibilidad de desvincularlos dejándolo libre pero su valor asciende a USD 1500, incluyendo el crypter. Esta diseñado para explotar las siguientes vulnerabilidades: MDAC, MS009-02, Telnet - Opera, Font tags - FireFox, PDF collab.getIcon, PDF Util.Printf, PDF collab.collectEmailInfo, DirectX DirectShow y Spreadsheet.

Eleonore Exploits Pack v1.1
La versión anterior tiene un costo de USD 500 y a diferencia de la versión 1.2, no posee el módulo exploit Spreadsheet.

Más información sobre Eleonore Exploits Pack

Unique Sploits Pack v2.1
Otro de los aplicativos diseñados par administrar botnets vía web a través del protocolo http. SU valor actual es de USD 750 e incluye un crypter y actualizaciones posteriores gratuitas. Para quienes poseen versiones antiguas, la actualización a esta versión tiene un valor agregado de USD 200.

Las vulnerabilidades que permite explotar son: MDAC para IE 6, PDF exploit para IE 7, Opera y Firefox, PDF exploit para Adobe Acrobat 9, PDF Doble. Descarga de manera simultánea dos exploits en PDF, MS Office Snapshot para IE 6 y 7, IE 7 XML SPL, Firefox Embed, IE 7 Uninitialized Memory Corruption Exploit, SPL Amaya 11, Foxit Reader 3.0. PDF Buffer Overflow Exploit.

Más información sobre Unique Sploits Pack

Adrenaline
Otro de los tantos crimeware diseñados para explotar vulnerabilidades y controlar botnets vía http. Entre las funcionalidades que posee se destacan la posibilidad de hacer uso de pharming local, keylogging, robo de certificados digitales, cifrado de información, técnicas anti-detección, limpieza de huellas, inyección de código viral, entre otros. Su valor es de USD 3000.

Más información sobre Adrenaline Pack

YES Exploit System v2.0.1
Uno de los kits de explotación más utilizados. Posee una interfaz que se asemeja a la de un sistema operativo con un menú "Inicio" desde el cual se accede a las diferentes funcionalidades del mismo. El costo de la última versión al día de la fecha (agosto de 2009) es de USD 800.

YES Exploit System v1.2.0

Algunas paquetes de la primera generación, aún muy activas, varían su precio en función de las versiones. En el caso de la versión 1.2.0, el costo ronda los USD 700.

Más información sobre YES Exploit System

Barracuda Botnet v3.0
Última versión de este aplicativo web que a pesar de contar con varios años de existencia, sigue teniendo un costo relativamente elevado en comparación de sus pares. Se trata de un crimeware que posee dos versiones de comercialización, la versión Full a un costo de USD 1600 y la versión Lite a USD 1000.

Además, este paquete es modular, lo que significa que se pueden agregar módulos conforme a las necesidades del botmaster que la compre o alquile. Los módulos que pueden ser adquiridos son:
  • Módulo DDoS (HTTP GET/POST flood, UDP flood, ICMP flood, TCP flood, IP Spoofing) a un costo de USD 900.
  • Módulo Email Grabber que permite recolectar direcciones de correo almacenadas en la zombi. Su valor es de USD 600.
  • Módulo Proxy, permite aumentar el número de conexiones simultáneas para un más "eficaz" envío de spam. Su valor es de USD 500.
  • Módulo PWDGRAB. Netamente orientado al robo de información privada. El valor del mismo es de USD 500.
  • Módulo SSLSOCKS. Este módulo se encuentra en su etapa beta y permite "construir una VPN" a través de la botnet. El precio es de USD 500.
Con respecto a versiones anteriores, la 2.2 se comercializa a USD 600 y la versión 2.0 a USD 300.

Más información sobre este crimeware

ZeuEsta Exploit Pack v7.0
Se trata de una "adaptación" privada que se compone de la combinación de dos crimeware muy activos: ZeuS v1.2.4.6 y SPack Exploit Kit. Su costo es de USD 600 y por USD 100 mensuales más se accede a un hosting. Originalmente estaba compuesto por la fusión entre ZeuS y ElFiesta hasta que durante abril de este año (2009) se actualizó reemplazando ElFiesta por SPack Exploit Kit.

Si bien esta fusión de crimeware no es originalmente una creación desarrollada íntegramente por rusos, las diferentes versiones de ZeuS sí lo son y por ese motivo se contempló plasmar su costo.

ZeuEsta Exploit Pack v5.0
Esta versión se consigue en el mercado clandestino a un costo de USD 150 la versión “no oficial”, es decir, la comercializada por terceros y no por el propio autor. Esta versión se compone por ZeuS v1.1.2.2 y ElFiesta.

ElFiesta v3
Otro de los crimeware más explotados por botmasters. En este caso, se trata de la versión 3 cuyo costo es de USD 800.

El aplicativo posee módulos que permiten explotar más de veinte vulnerabilidades de las cuales las que poseen mayor nivel de eficacia son los exploits para archivos PDF y SWF.

Más información sobre ElFiesta

Liberty Exploit System v1.0.5
Un nuevo paquete crimeware de reciente aparición que posee una serie de características particulares que lo hacen, según su propio autor, un aplicativo ideal por su relación precio/calidad.

Por defecto posee preinstalado los siguientes exploits: MS06-014 Internet Explorer (MDAC) Remote Code Execution Exploit, PDF util.printf(), PDF collab.collectEmailInfo(), PDF collab.getIcon(), Flash 9 y MS DirectShow. Su costo es de USD 500.

Neon Exploit System v2.0.5
Neon sufrió una leve rebaja de USD 100. Ahora, su costo es de USD 400 y no de USD 500. Entre los módulos de exploits que se encuentran preinstalados y preconfigurados se encuentran: IE7 MC, PDF collab, PDF util.printf, PDF foxit reader, MDAC, Snapshot y Flash 9.

Limbo Trojan Kit
Limbo es uno de los crimeware menos populares del mercado clandestino de comercialización rusa. Sin embargo, ello no significa que su peligrosidad sea menor. Con un costo por debajo de otros crimeware mucho más populares, su costo es de USD 300.

Entre sus funcionalidades se destacan la actualización del binario, limpieza de huellas (cache, cookies, etc.), reinicio del sistema operativo (Windows) y destrucción en caso de ser necesario. Además posee capacidad de keyloggin para capturar todas las contraseñas que se accedan a través de Internet Explorer y las que se encuentren almacenas en el browser, entre otras.

Fragus v1.0
Un muy nuevo aplicativo web que accede a la industria del crimeware a un costo de USD 800. Sus características se centran que el soporte multilingüe (inglés y ruso), sistema estadístico sobre el navegador y sistemas operativos (incluyendo sus versiones) y países, capacidad de personalizar los módulos de exploits e incorporar nuevos, inyección de etiquetas iframe, cifrado de archivos, posee un crypter que forma parte del paquete, sin embargo, es posible añadir uno personal.


Como podemos apreciar, la automatización de procesos maliciosos, servicios y ofertas toma relevancia en la compra, venta y alquiler de eficaces “armas” informáticas pensadas netamente con fines delictivos y lucrativos.

En este sentido, los costos del crimeware generado desde Rusia se mueve en función de lo que dicte el mercado, incluso, generando modelos de negocios alternativos como por ejemplo, enfocar el lucro en ofrecer soporte técnico a través de servicios profesionales y personalizados de mantenimiento y actualización de crimeware, retroalimentando así el mercado negro.

Información relacionada
Los precios del Crimeware ruso
Comercio Ruso de versiones privadas de crimeware...
Automatización de procesos anti-análisis II
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Mirando de cerca la estructura de Unique Sploits Pack
Adrenaline botnet: zona de comando. El crimeware ruso...
YES Exploit System. Otro crimeware made in Rusia
Barracuda Bot. Botnet activamente explotada
ElFiesta. Reclutamiento zombi a través de múltiples amenazas

# Jorge Mieres

1 comentarios:

Quendi dijo...

Felicidades por el post. Muy bueno el contenido.

La verdad es que los precios son bastante bajos para la capacidad de beneficios que pueden generar, hecho que no hace más que incrementar su uso y difusión :(

Publicar un comentario en la entrada