Un blackhat se descontrola

Los escritores de virus de hoy en día siempre tratan de esconder sus identidades, ¿no es cierto? Pues no. Incluso algunos de los cibercriminales que buscan ganancias en la red revelan sus identidades. Estamos un poco sorprendidos, pero esta es la historia de cómo un blackhat ha revelado su identidad y está tratando de “recibir una compensación” de Kaspersky por hacer una investigación.

Últimamente hemos estado analizando un nuevo servicio para escritores de virus: [avtracker dot info]. Es un servicio en línea diseñado para rastrear productos antivirus. La página principal de [avtracker dot info] describe sus servicios, que incluyen protección para programas maliciosos contra los análisis de analistas de virus y promueve ataques DDoS contra empresas de seguridad:

Traducción: AV Tracker registra los pedidos de programas a analizar por los sistemas antivirus y muestra sus direcciones IP e información aquí. Ud. puede incluir esta lista para bloquearlos (para evitar que los programas antivirus analicen su programa). También puede lanzarles ataques DDoS para entorpecerlos. Para relacionarse de forma automática utilice http://avtracker.info/check.php, la respuesta es “av” si el sistema está en nuestra base de datos, de lo contrario es “ok”.

Asimismo, algunos de nuestros colegas analistas compartieron con nosotros una solicitud de red que se utilizaba para enviar informes de regreso a [avtracker dot info]. Un programa espía especial utilizaba esta solicitud, que el dueño de [avtracker dot info] había enviado a varios laboratorios antivirus. Si se lo ejecuta, este programa espía contacta con el dueño para describirle el ambiente del ordenador infectado. Jugamos un poco con esta solicitud y substituimos al azar datos como el nombre de usuario y parámetros del sistema.

La sección WHOIS no servía de nada, el creador de [avtracker dot info] lo había registrado de forma anónima. Esto no fue ninguna sorpresa: casi siempre los cibercriminales registran los dominios de forma anónima para evitar que se los identifique.

Hasta ahora, no hay nada extraordinario: un día normal en la vida de una empresa antivirus. Pero entonces… ¡SORPRESA! el dueño del servicio de escritores de virus nos contactó y reveló su identidad. Incluso exigió que le diéramos 2000 euros para compensar sus supuestas pérdidas cuando intentamos “romper” su nuevo juguete.

Cuando escribimos esta entrada habíamos recibido el programa espía, que incluía el siguiente mensaje en su código, que mencionaba a la misma persona que nos contactó:

Traducción: Soy [nombre verdadero del sospechoso] ¡a la m****a [empresa antivirus #1], a la m****a el mundo, a la m****a todos ustedes! Yo solía trabajar en [empresa antivirus #1] y era un white hat, y ahora soy el blackhat más cruel e hijo de p**a y estoy vendiendo el código fuente de [producto de la empresa antivirus #1] 😀 Estoy con los desarrolladores de SinowalWhistler, qué ironía, ¿no? 😉 y a la m****a [empresa antivirus #2] no tiene ni idea 😀 cabr***s.

Obviamente, hemos recolectado todos los datos relevantes y se los hemos pasado a nuestro abogado, que se encargará de dar los siguientes pasos en esta situación. Si todos los cibercriminales cooperaran tanto como este, la vida sería mucho más fácil para las empresas antivirus.