Cibercriminales brasile√Īos y rusos cooperan para mejorar sus ataques

El cibercrimen brasile√Īo y ruso son dos de los mercados m√°s visibles para los analistas de seguridad debido a su relativa apertura, alto nivel de actividad y el gran n√ļmero de foros online utilizados para comunicarse entre s√≠.

Una investigaci√≥n a fondo de los analistas de Kaspersky Lab en foros no convencionales brasile√Īos y rusos ha puesto de manifiesto que cibercriminales de lados totalmente opuestos del mundo son capaces de eliminar las barreras de tiempo e idiomas y establecer una estrecha cooperaci√≥n con el fin de impulsar el desarrollo de herramientas maliciosas.

El cibercrimen brasile√Īo y ruso son dos de los mercados m√°s visibles para los analistas de seguridad debido a su relativa apertura, alto nivel de actividad y el gran n√ļmero de foros online utilizados por los delincuentes para comunicarse entre ellos. Hist√≥ricamente, los mercados han desarrollado de forma independiente sus t√©cnicas de ciberataques, adaptadas a las condiciones locales (por ejemplo de malware “Boleto” en Brasil, o de malware dirigidas a servicios de banca m√≥vil en Rusia).

Sin embargo, la investigaci√≥n realizada por los analistas de Kaspersky Lab muestra que los cibercriminales de Brasil y de habla rusa han establecido un sistema de cooperaci√≥n en los √ļltimos a√Īos. Los cibercriminales brasile√Īos buscan en foros clandestinos rusos c√≥mo comprar nuevo software para actividades ilegales, malware para ATM / POS o para ofrecer sus propios servicios. Este comercio es bidireccional, y esta cooperaci√≥n est√° ayudando a acelerar la evoluci√≥n del malware.

Ejemplos de la vida real

Las se√Īales de esta cooperaci√≥n han sido detectadas en foros fuera de los circuitos tradicionales, frecuentados por usuarios de habla rusa. En uno de los temas que se enumeran en el informe, un usuario llamado Doisti74 mostraba su inter√©s en la compra de “descargas” de Brasil, que es la jerga cibern√©tica para las instalaciones exitosas de malware en los ordenadores de las v√≠ctimas localizadas en Brasil.

Los analistas descubrieron a un usuario con el mismo nombre en el ciberescenario de Brasil, donde se le conoc√≠a como un usuario activo en foros, propagando ransomware dirigido a los consumidores brasile√Īos.

Otro caso muestra c√≥mo los cibercriminales comparten infraestructuras maliciosas. Unos meses despu√©s, una familia del troyano bancario ruso (Crishi) comenz√≥ supuestamente a usar un algoritmo que generaba dominios en alojamientos Ucranianos y los ciberdelincuentes brasile√Īos que estaban detr√°s de la campa√Īa de malware Boleto tambi√©n empezaron a utilizar esta infraestructura. Sin la cooperaci√≥n entre los actores Boleto y los que est√°n detr√°s del algoritmo de generaci√≥n de dominios, hubiera sido imposible realizar la identificaci√≥n de los servidores de comando y control para los analistas y los organismos encargados de hacer cumplir la ley.

Los cibercriminales tambi√©n est√°n pidiendo ‚Äúprestadas‚ÄĚ tecnolog√≠as maliciosas. Al menos desde 2011, los cibercriminales brasile√Īos han abusado de los PAC – una tecnolog√≠a anticuada, pero que sigue siendo compatible con todos los navegadores – para volver a dirigir a las v√≠ctimas a p√°ginas bancarias falsas. En menos de un a√Īo, los analistas de Kaspersky Lab detectaron la misma t√©cnica utilizada en Capper – otro troyano bancario dirigido a bancos rusos y probablemente creado por cibercriminales de habla rusa.

Estos son s√≥lo algunos de los muchos ejemplos de cooperaci√≥n entre ciberdelincuentes observados por los analistas de Kaspersky Lab en los √ļltimos a√Īos.

“Hace s√≥lo unos a√Īos, el malware bancario brasile√Īo era muy sencillo de detectar. Con el tiempo, los autores de malware han adoptado varias t√©cnicas para evitar su detecci√≥n, incluyendo la ofuscaci√≥n de c√≥digo, root y funciones Bootkit. Por ello, ahora el malware es mucho m√°s sofisticado y dif√≠cil de combatir gracias a las tecnolog√≠as desarrolladas por ciberdelincuentes de habla rusa. Esta cooperaci√≥n funciona en ambos sentidos” afirma Thiago Marques, analista de seguridad de Kaspersky Lab. “Nuestros expertos detectan nuevas tendencias maliciosas mucho antes de que se extiendan y est√°n utilizando sus conocimientos para combatir la propagaci√≥n de la ciberdelincuencia local a todo el mundo. Creemos que la mejor manera de abordar este tipo de amenaza internacional es llevando a cabo una investigaci√≥n global de estas actividades. Del mismo modo que el ciberdelito no tiene fronteras, no debe tenerlas tampoco la investigaci√≥n”.




Contacto | Diario TI es una publicación de MPA Publishing International Ltd.