Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 16 de enero de 2010

Justificando lo injustificable de un mundo delictivo

Como muchos de los lectores sabrán, desde Malware Intelligence venimos investigando las implicancias directas de toda esta nueva generación de códigos maliciosos y actividades delictivas que día a día retro-alimentan el negocio del crimeware.

Bajo esta premisa, las investigaciones centran sus esfuerzos en tratar de revelar las diferentes ramificaciones que se enredan entre sí dentro de una maraña de acciones ilícitas tendientes, fundamentalmente, a obtener dinero de los usuarios a través de técnicas no-éticas. Y en función de esto… ¿aún quedan dudas que estamos frente a un gran negocio que lucra a través de actividades que rozan la ilegalidad? (obviamente, siempre de acuerdo a la legislación vigente de cada país). Creo que la respuesta unánime es NO.

Salvada esta apreciación, luego de tanto exponer contenido en torno al estado del arte del crimeware, incluso aún sin exponer datos relevantes para no entorpecer la continuidad de las investigaciones, ya se ha tornado un aspecto común recibir mensajes y comentarios, en su mayoría agresivos, de los responsables del desarrollo o de la comercialización de determinadas aplicaciones crimeware.

Bajo este escenario, y si bien no soy de dar explicaciones sobre las investigaciones que realizamos, en esta oportunidad haré una excepción exponiendo dos de los últimos comentarios que hemos recibido de parte de quienes forman parte del negocio del crimeware.

Sobre todo, porque en cierta forma reflejan la filosofía (de vida y mental) de quienes operan desde la clandestinidad, aunque últimamente las cosas están cambiando.

El primero de los casos es un mensaje anónimo, no-agresivo que en lo personal debo confesar que… muy simpático :) dejado por uno de los Partners que comercializa el crimeware YES Exploit System. El comentario fue dejado en el artículo que habla de este Exploit pack, y en el cual también encontrarán mi respuesta. El comentario es el siguiente:

YES, We are the blackhats :)
Thanks for small review, but why do ppl think that blackhats are poor guyz?
It's just a business, no less, no more :) Do you wanna buy our excellent product? - there is discounts for you ;)


Como dicen mis "amigos", para ellos es "solo un negocio, ni más ni menos". Sin embargo, convengamos en que, además de no ser un negocio convencional, representa un modelo de negocio que colabora directa y activamente con actividades delictivas, lo cual no es tan gracioso.

Ahora, YES Exploit System es un crimeware que posee mucho desarrollo en su código y cuyo valor en el mercado es de USD 800. Y lo que sí resulta gracioso (según la última oración del cometario) es saber que no obtendré descuento alguno sobre el crimeware ;)

El segundo caso que quiero dar a conocer es un poco más agresivo y fue en función de lo escrito en el informe sobre el servicio ruso destinado a comprobar la detección de malware, en el mismo pueden leer el comentario y mi respuesta, la cual no transcribo aquí por su longitud. El mensaje dice así:

"In summary, further evidence that not only the exploitation of malware generates profits but also moves parallel money on services to
this industry. And in some cases like the present one, have to see if you can consider this service as a criminal act or not."

Wow and why would this service be criminal act?

It's clear to me that someone has a year work in a software like this scanner and he want to make money with it.
If you don't like it don't use it. Noone forces you to pay for it or submit files there but since I see you are a little wanker
blogger who does not respect others work I giving it to you straight.

You have no inside experience in the antivirus industry whatsoever otherwise you would know that VirusTotal distributes 200K files/day
to antivirus companies for FREE. AV companies are shit on online scanners, they wouldn't even contact you if you would ask them about file
distribution and they definately wouldn't support an online scanner so what else can these services do to remain online?

Before you criticizing others work put something down on the table little frustrated shit..."

Independientemente de la connotación agresiva que presenta este segundo comentario, lo interesante es de quien viene. Alguien que utiliza como nick la palabra "KLESK" y responsable de "un intento de negocio" completamente delictivo, en cuya página una de las primeras cosas que leemos es "Selling corporate data, trade secrets" (Venta de datos corporativos, secretos comerciales).

"We sell corporate data and trade secrets" (Nosotros vendemos los datos corporativos y los secretos comerciales), continúa la propaganda. Aclarando además qué tipo de información supuestamente "roban" a las empresas, y rematando con algo muy curioso:

"Please losers/asszors stay away, all the data bids start on 5 figures" :: Sin palabras… :)

En fin, particularmente este último caso representa una buena oportunidad para analizar la psicología de un prospecto a ciber-delincuente cuyo intento de "negociar" no sólo deja mucho que desear sino que ni siquiera puede ser evaluado como una posibilidad a tener en cuenta como objeto de investigación.

Información relacionada
Russian service online to check the detection of malware
YES Exploit System. Otro crimeware made in Rusia

Jorge Mieres

Ver más

YES Exploit System. Official Business Partner’s

Sin lugar a dudas, el negocio que representa el crimeware en la actualidad se expande cada día más. No sólo se refleja este aspecto en la profesionalización en torno al desarrollo y explotación de las diferentes aplicaciones y tecnologías informáticas empleadas para delinquir y realizar ataques vía web, sino también en las estrategias de venta que se emplean para canalizar la atención de un mayor volumen de mentes inquietas, que buscan obtener robar el dinero de los demás empleando como base de negocio, alguna botnet.

Si bien aún el 90% de la venta de crimeware se lleva a cabo en un ambiente underground donde la oferta es propuesta directamente por el creador del crimeware, los ciber-delincuentes están llevando su negocio clandestino a un plano "más claro" y "más alto", publicitando sus desarrollos a través de sitios web exclusivamente diseñados para ofrecer sus "servicios", pero a través de "asociados de negocio" que se encargan de la logística del asunto.

A principios del año 2009 mencionábamos el caso de la venta, vía web, de Unique Sploit Pack, uno de los exploit pack de propósito general más demandados en la actualidad, cuyo sitio web de comercio estuvo online un tiempo hasta que fue dado de baja precisamente por tratarse de un crimeware.

Sin embargo, esta estrategia de marketing y venta vuelve al plano mayor de la mano de YES Exploit Pack, otro crimeware de los más activos actualmente.

Bajo el slogan "Improve your business with YES Exploit System. Exploit Pack from Russia" (Mejore su negocio con YES Exploit System. Un Exploit pack desde Rusia) se propone la venta de la versión 2 de este exploit pack a través de un sitio web registrado en Rusia.

La campaña de propaganda (estrategia de marketing) desde el sitio web radica en explicar brevemente cuáles son las características más sobresalientes del crimeware, a modo de justificar por qué es mejor que otros paquetes de su estilo (la competencia). Su costo es de USD 800 y la transacción se realiza, como habitualmente se hace, a través de WebMoney.

El negocio del crimeware expande sus recursos logísticos y esto evidentemente es una prueba fiel que manifiesta la evolución de un mercado clandestino, o ya no tan clandestinos, cuyos retos no solo radican en aspectos técnicos buscando alternativas que permitan evadir los mecanismos de análisis.

Información relacionada
YES Exploit System. Otro crimeware made in Rusia
YES Exploit System. Manipulando la seguridad del atacante
El crimeware durante el 2009
Los precios del crimeware ruso. Parte 2
Comercio Ruso de versiones privadas de crimeware...
Panorama actual del negocio originado por crimeware

Jorge Mieres

Ver más