Español | English
rss facebook linkedin Twitter

Cosechando resultados

Cualquier código malicioso, como todo producto, tiene asociados unos costes de diseño, desarrollo, testing y despliegue. Evidentemente, llega un punto en el que se pretende obtener un ROI para amortizar la inversión, todo esto es un negocio, ilegal, pero negocio.

Tras toda la rumorología que hubo alrededor de la actualización de Conficker C para el 1 de Abril, en el que decenas de administadores de sistemas y equipos de seguridad se mantuvieron de guardia esperando algún tipo de catastrofe (que posteriormente no ocurrió), es ahora cuando se empieza a apreciar cierto movimiento en la red de máquinas infectadas por este troyano. Ciertos segmentos de la red creada por el gusano se están empezando a actualizar vía P2P de un modo muy discreto y sin ningún tipo de patrón aparente en lo que respecta a qué máquinas se actualizan.

Una de las hipótesis es que se están empezando a alquilar algunos segmentos de la red para uso de terceros, empezando a amortizar así toda la inversión realizada en un principio. Recordemos que Conficker empezó su modelo de negocio mediante la descarga de falsos AntiVirus y AntiMalware, un esquema más que rentable: durante el 2008 algunas estimaciones apuntan a unos ingresos de hasta 10 millones de euros mensuales sumando este tipo de fraude a nivel mundial. Parece que en una segunda etapa entra el alquiler de las redes para ofrecer otros servicios.

Y es que montar y mantener este tipo de "servicios" es costoso. Sirva como ejemplo la lista del TODO para las próximas versiones de ZeuS, uno de los troyanos bancarios más extendidos:

1. Complete work in Windows Vista/2008/Seven.
2. Changing the method of intercepting WinAPI.
3. Random generation: the names of files, settings and data.
4. Console builder.
5. x64 version.
6. Support for IPv6.
7. Writing full documentation.
8. Collecting statistics using software (antivirus, firewall, etc.).
9. Interception of FireFox 3 +.

Como se puede apreciar, los cambios planteados son importantes y suponen una dedicación de horas de especialista considerable. Destacar la afectación para nuevos sistemas operativos y navegadores, así como soporte para 64 bits e implementación de IPv6. Por supuesto las mejoras responden a un beneficio esperado a partir de las mismas: el modelo de negocio no dista de cualquier otro legítimo, en este aspecto.

Vicente Díaz
S21sec e-crime

1 comentario:

eduardo abril dijo...

Atrás quedaron los tiempos en los que la gente escribía virus en asm por fama ... Ahora todo son profesionales, troyanos a medida, mafias, ... Un negocio que requiere infraestructura y dinero, mucho dinero.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login