lunes, 18 de diciembre de 2006

De compras en el supermercado del malware

eWeek publica una entrevista con Raimund Genes, director de sistemas
de Trend Micro, en el que desvela los distintos precios que se pueden
llegar a pagar por exploits para vulnerabilidades que todavía no han
salido a la luz. Como quien va a al supermercado, existen de todos
los tipos, gustos y precios.

Según parece, Trend Micro logró infiltrase en un especie de subasta
donde se comercializaba con vulnerabilidades y exploits. Desde ahí ha
logrado tomarle el pulso a los baremos económicos en los que se mueven
las mafias informáticas hoy en día.

Por ejemplo, un exploit para una vulnerabilidad no pública que permite
ejecutar código en Windows Vista ronda (según siempre declaraciones de
Genes para eWeek) los 50.000 dólares (38.100 euros aproximadamente).
Para otros sistemas, dependiendo obviamente de su popularidad y de la
gravedad de las vulnerabilidades, los precios rondan los 20.000 a 30.000
dólares, entre 15.000 y 20.000 euros más o menos.

Uno de los tipos de troyanos más habituales hoy día, los que secuestran
máquinas Windows que generan todo ese spam que inunda los buzones
(indicador de la eficacia de estos ataques) se venden por unos 5.000
dólares (3.800 euros). Un troyano "a la carta" capaz de robar
información sensible de cuentas online puede ser comprado por 1.000 ó
5.000 dólares. Un troyano que permita construir todo un botnet se puede
comprar por 5.000 ó 20.000 dólares.

Si la idea de infectar y esperar beneficios no resulta atractiva, se
pueden obtener directamente números de tarjetas de crédito con su
correspondiente PIN por sólo 500 dólares (380 euros). Otros datos
personales se venden por entre 80 y 300 dólares (de 60 a 230 euros).

Y no sólo malware y datos, según Genes, en la subasta también se vendían
licencias de conducir falsas, certificados de nacimiento, números de
seguridad social... Lo más "asequible" son las cuentas de eBay o PayPal,
a 7 dólares cada una (5 euros).

Si estos son los precios que se pagan, los beneficios deben ser
potencialmente mayores si se sabe gestionar el producto, no hay duda. El
conocer cómo aprovechar una vulnerabilidad o un troyano "a la carta" y
por tanto no detectable por la mayoría de antivirus (a no ser que posean
unas excelentes heurísticas) supone un ingreso potencial de dinero que
bien merece una inversión.

Esto demuestra una vez más que los creadores de malware poseen una
motivación real para la producción de este tipo de código. Que es un
"producto" que atiende a un mercado concreto y por tanto se rige por la
ley de oferta y demanda que ha derivado en la situación actual: los
niveles de infección por troyanos bancarios son altísimos, han
desaparecido las infecciones masivas por un único virus, se explotan
nuevas vías de infección (MS Office, principalmente) con numerosos
"0 days" descubiertos, VirusTotal recibe decenas de nuevos troyanos
bancarios al día (la mayoría no detectados)... todo buscando el máximo
beneficio y rendimiento, entendiendo como tal un lucro real, tangible,
económico.

Lejos están los románticos tiempos de gusanos masivos y virus molestos
(pero inocuos a la postre). Estamos hablando de inversión y beneficios,
con el auge de la banca online ha surgido una nueva posibilidad de
negocio, un nuevo nicho de mercado que no ha tardado en ser ocupado y
que, tal es la cantidad de dinero que mueve, que según Genes, éste
superaría ya al volumen que maneja el mercado de las soluciones antimalware.


Sergio de los Santos
ssantos@hispasec.com


Más información:
Hackers Selling Vista Zero-Day Exploit
http://www.eweek.com/article2/0,1759,2073611,00.asp