Equipe desvendou as identidades de dois autores -Volodya e PalyBit - responsáveis por 15 dos 16 ataques ao Windows LPE entre os anos de 2015 e 2019
Pesquisadores desenvolveram uma técnica com a qual identificaram os desenvolvedores de ataques a vulnerabilidades de softwares, incluindo ataques de dia zero, amplamente disseminados por criadores de malware contra o Windows. Os pesquisadores detectaram a “impressão digital” de desenvolvedores específicos.
Os pesquisadores da Check Point detectaram a presença de ataques criados por esses desenvolvedores em famílias de malware específicas. Também detectaram ataques adicionais produzidos pelo mesmo desenvolvedor, uma vez que compartilha uma “impressão digital” única.
Com isso, eles conseguiram bloquear todas as famílias de malware que utilizem um ataque anteriormente estudado e cuja a “impressão digital” já tenha sido identificada.
Para que novos malwares sejam criados é necessário encontrar vulnerabilidades em softwares para os quais não existam ou não estejam em utilização patches ou soluções – as chamadas explorações de dia zero, explica a empresa de pesquisa e consultoria.
Os desenvolvedores especializados na criação de explorações deste tipo procuram por essas vulnerabilidades, elaboram um código que lhes permitam se beneficiar das mesmas, procedendo, depois, à sua venda a outros cibercriminosos que, a partir do código comprado, constroem malwares.
“Quando a Check Point desvenda uma vulnerabilidade, nós demonstramos a sua seriedade, reportando-a ao fornecedor indicado e nos certificamos de que existe uma patch para evitar que represente uma ameaça. Contudo, para os indivíduos que comercializam estas explorações, a história é completamente diferente. Para eles, encontrar uma vulnerabilidade é apenas o início. Eles precisam explorá-la no maior número possível de versões de softwares e plataformas, de modo a monetizá-la e, assim, obter a satisfação dos seus ‘clientes’”, afirma Itay Cohen, Pesquisador de Malware na Check Point.
Os pesquisadores descobriram um método que lhes permitiu identificar e rastrear desenvolvedores de exploits, com o objetivo de reduzir a quantidade de novos ataques de dia zero. Eles aplicaram as mesmas técnicas usadas para investigar autores de malware e grupos APT para desenhar um esboço digital composto do criador do exploit.
Ao utilizar esse método de análise, eles identificaram o trabalho de um dos desenvolvedores mal-intencionados mais ativos e predominantes para o Kernel do Windows, chamado “Volodya” e conhecido também por “BuggiCorp”. O Volodya vende códigos para explorar ataques de dia zero e vulnerabilidades críticas.
Os pesquisadores constataram que o Volodya estava ativo pelo menos desde 2015, identificando 11 códigos de exploração diferentes, elaborados para o Kernel do Windows. Resultado destes códigos, diferenciam-se nomes conhecidos do cibercrime, como o Dreambot e o Magniber, bem como famílias de malware como o Turla e o APT28, comumente associadas à Rússia.
O segundo desenvolvedor e vendedor mal-intencionado identificado é conhecido por “PlayBit” ou “luxor2008”. Os pesquisadores constataram cinco explorações diferentes de autoria de PlayBit, as quais foram vendidas posteriormente a grupos de cibercrime como o REvil e Maze. Ambos são conhecidos por desenvolverem ransomware.
“Nós acreditamos que esta metodologia de pesquisa pode ser utilizada para identificar outros desenvolvedores de exploits. Nós recomendamos a outros pesquisadores que testem a técnica que sugerimos e a adicione ao seu conjunto de ferramentas”, adiciona Cohen.
