Llega el cibercrimen colaborativo

El cibercrimen brasileño y ruso son dos de los mercados más visibles para los analistas de seguridad debido a su relativa apertura, alto nivel de actividad y el gran número de foros online utilizados por los delincuentes para comunicarse entre ellos. Históricamente, los mercados han desarrollado de forma independiente sus técnicas de ciberataques, adaptadas a las condiciones locales (por ejemplo de malware "Boleto" en Brasil, o de malware dirigidas a servicios de banca móvil en Rusia).

Sin embargo, la investigación realizada por los analistas de Kaspersky Lab muestra que los cibercriminales de Brasil y de habla rusa han establecido un sistema de cooperación en los últimos años. Los cibercriminales brasileños buscan en foros clandestinos rusos cómo comprar nuevo software para actividades ilegales, malware para ATM / POS o para ofrecer sus propios servicios. Este comercio es bidireccional, y esta cooperación está ayudando a acelerar la evolución del malware.

Ejemplos de la vida real

Las señales de esta cooperación han sido detectadas en foros fuera de los circuitos tradicionales,  frecuentados por usuarios de habla rusa. En uno de los temas que se enumeran en el informe, un usuario llamado Doisti74 mostraba su interés en la compra de "descargas" de Brasil, que es la jerga cibernética para las instalaciones exitosas de malware en los ordenadores de las víctimas localizadas en Brasil.

Los analistas descubrieron a un usuario con el mismo nombre en el ciberescenario de Brasil, donde se le conocía como un usuario activo en foros, propagando ransomware (programa informático malicioso que restringe el acceso a determinadas partes o archivos del sistema infectado) dirigido a los consumidores brasileños.

Otro caso muestra cómo los cibercriminales comparten infraestructuras maliciosas. Unos meses después, una familia del troyano bancario ruso (Crishi) comenzó supuestamente a usar un algoritmo que generaba dominios en alojamientos ucranianos y los ciberdelincuentes brasileños que estaban detrás de la campaña de malware Boleto también empezaron a utilizar esta infraestructura. Sin la cooperación entre los actores Boleto y los que están detrás del algoritmo de generación de dominios, hubiera sido imposible realizar la identificación de los servidores de comando y control para los analistas y los organismos encargados de hacer cumplir la ley.

Los cibercriminales también están pidiendo "prestadas" tecnologías maliciosas. Al menos desde 2011, los cibercriminales brasileños han abusado de los PAC, una tecnología anticuada, pero que sigue siendo compatible con todos los navegadores, para volver a dirigir a las víctimas a páginas bancarias falsas. En menos de un año, los analistas de Kaspersky Lab detectaron la misma técnica utilizada en Capper, otro troyano bancario dirigido a bancos rusos y probablemente creado por cibercriminales de habla rusa.

Estos son sólo algunos de los muchos ejemplos de cooperación entre ciberdelincuentes observados por los analistas de Kaspersky Lab en los últimos años.

"Hace sólo unos años, el malware bancario brasileño era muy sencillo de detectar. Con el tiempo, los autores de malware han adoptado varias técnicas para evitar su detección, incluyendo la ofuscación de código, root y funciones Bootkit. Por ello, ahora el malware es mucho más sofisticado y difícil de combatir gracias a las tecnologías desarrolladas por ciberdelincuentes de habla rusa. Esta cooperación funciona en ambos sentidos" afirma Thiago Marques, analista de seguridad de Kaspersky Lab.

"Nuestros expertos detectan nuevas tendencias maliciosas mucho antes de que se extiendan y están utilizando sus conocimientos para combatir la propagación de la ciberdelincuencia local a todo el mundo. Creemos que la mejor manera de abordar este tipo de amenaza internacional es llevando a cabo una investigación global de estas actividades. Del mismo modo que el ciberdelito no tiene fronteras, no debe tenerlas tampoco la investigación", sentencia Thiago Marques.