Los modelos de negocio del crimeware

Buenas,

Sobre crimeware se escribe mucho, casi a diario, y son muchas las fuentes informativas que aportan su visión: casos prácticos, teoría, evolución … es uno de los temas de moda en el mundo de la seguridad, y por tanto, abunda la información al respecto.

Haciendo lectura del blog de S21Sec, he visto una nueva exposición sobre lo importante que es comprender que el crimeware es el producto de un modelo de negocio tan bien armado como puede ser el de cualquier otro segmento empresarial legítimo.

Creo que es la primera vez (y son años ya haciendo seguimiento cercano a este tema) que he visto un to-do concreto de un elemento de malware. Parece algo simple, pero sinceramente, no recuerdo a ningún investigador sacando a la luz información sobre planes de mejora de este tipo, más allá del mensaje que circula de boca en boca «los malos están mejorando, se profesionalizan y cuesta pillarlos».

Según la información del artículo, para el caso de ZeuS, uno de los troyanos bancarios más extendidos, esta es la lista de mejoras prevista para el corto y medio plazo (copio y pego)

1. Complete work in Windows Vista/2008/Seven.
2. Changing the method of intercepting WinAPI.
3. Random generation: the names of files, settings and data.
4. Console builder.
5. x64 version.
6. Support for IPv6.
7. Writing full documentation.
8. Collecting statistics using software (antivirus, firewall, etc.).
9. Interception of FireFox 3 +.

Me preocupan todos los puntos y no me atrevo a destacar ninguno, porque todos responden, en menor o mayor medida, a una mentalidad empresarial que se ha propuesto maximizar la rentabilidad de un negocio que nos perjudica a todos.

Me da igual que ZeuS no capture hoy en día credenciales en Firefox o que no funcione en IPv6 o plataformas x64. Son mejoras orientadas, todas, a maximizar los impactos, y esto debería preocuparnos a todos, porque es probable que estas mejoras acaben en el mercado. Y el mercado lo tenemos bien cerquita.

El artículo ofrece también una visión que merece la pena remarcar sobre Conficker, en la que se citan dos de sus posibles modelos de negocio: la descarga de falsos AntiVirus y AntiMalware (durante el 2008 algunas estimaciones apuntan a unos ingresos de hasta 10 millones de euros mensuales, ya quisieran muchos troyanos) y un segundo modelo de negocio, en el que todo apunta a que Conficker podría ser la prueba de concepto definitiva para alquilar de las redes para ofrecer otros servicios maliciosos B2B: de empresario a empresario.

Tras la lectura del artículo, me surgen dos conclusiones que tienen que ver, una vez más, con la imperiosa necesidad de mejorar. Mejorar nosotros, los usuarios, en cuanto a nuestra formación y prácticas para evitar sufrir el crimeware. Por más que los apocalípticos insistan en que estamos perdidos, es posible ser un usuario y no sufrir problemas, y ahí debemos tender todos.

Y mejorar (mucho) los que nos dedicamos a este mundillo, porque si queremos servir de algo en este panorama, tenemos que tener el suficiente nivel como para poder anticiparnos a los amigos de lo ajeno. Y una buena manera de anticiparse es conocer los planes de los que se dedican 24 horas al día a tratar de vaciarnos los bolsillos.

Un saludo,