Mientras RIG se perfecciona, Neutrino hace mutis por el foro

En los últimos meses los expertos están observando que las campañas maliciosas que usan paquetes de exploits están abandonando Neutrino y migrando a la plataforma RIG. El investigador francés Kafeine remarcó además, que con cada vez mayor frecuencia el objetivo de estos ataques es sembrar troyanos bancarios (ZeuS Panda, Gootkit, Betabot), y no software extorsionista como antes.

Kafeine también hizo hincapié en que los operadores de RIG no sólo ocuparon el nicho dejado por Neutrino al abandonar sus actividades después de que a finales de agosto Cisco, con el apoyo de GoDaddy, le asestara un golpe decisivo, sino que también hacen todo lo posible para reforzar su posición en el mercado de los paquetes exploits. Así, el análisis mostró que RIG ahora utiliza un sistema de distribución de tráfico (TDS) que permite combinar diferentes cargas en un flujo, ajustándolas según el tipo de sistema operativo, navegador y ubicación geográfica de la víctima. Además, simplifica el trabajo con el proveedor de tráfico. La tecnología TDS, según Kafeine, apareció en el mercado, de los paquetes de exploits junto con Blackhole y dejó de usarse al mismo tiempo que Angler y Nuclear.

El 9 de septiembre, según afirma Kafeine, en las redes clandestinas se difundió un mensaje Jabber del vendedor de acceso a Neutrino: “Hemos cerrado. No más rentas ni extensiones” A mediados de septiembre los sistemas de vigilancia de Kafeine descubrieron una nueva versión de RIG, que tenía un nuevo sistema de ofuscación de la página de aterrizaje, una carga útil cifrada con RC4, un comportamiento similar al de Neutrino y un exploit adicional, de la vulnerabilidad CVE-2016-0189. RIG también tenía añadida una lista de admitados de direcciones IP autorizadas a hacer llamadas a su API. Esta medida pretende evitar la detección y bloqueo de páginas con exploits.

La aparición de una versión mejorada de RIG (versión VIP, como la llama Kafeine) decidió el destino de Neutrino. Aproximadamente el 22 de septiembre en las redes clandestinas no quedaba ningún anuncio o banner asociado a este paquete de exploits. Sin embargo, casi al mismo tiempo Kafeine registró la presencia de un esquema persistente de infección en la que Neutrino participaba. Los que la usaban claramente no tenían intenciones de sacrificar sus servicios habituales a favor de RIG. En Corea del Sur y Taiwán también se llevó a cabo una campaña de malvertising similar con el propósito de difundir el criptobloqueador Cerber.

Es muy probable, considera Kafeine, que Neutrino simplemente haya pasado a usarse de modo privado, de la misma manera que ahora actúa Magnitude, un malware muy activo en los países asiáticos. A favor de esta hipótesis habla la pausa en las actividades de Neutrino ocurrida en 2014 cuando, según Kafeine, desapareció de la escena de Internet en marzo para volver a hacer de las suyas en diciembre.

El aumento de virulencia de RIG observado en septiembre también fue notado por Heimdal Security y el centro SANS de seguimiento de amenazas de red. En particular, al final del mes pasado los investigadores de ISC SANS descubrieron que los autores de la campaña maliciosa Afraidgate habían dejado de usar Neutrino para empezar a usar RIG. En la campaña Afraidgate el objetivo del exploit es propagar el programa extorsionista Locky que SANS ISC denomina Odin (por la nueva extensión que asigna a los archivos cifrados).

Fuente: malware.dontneedcoffee.com