ESET hizo más de 240.000 detecciones de este malware, lo que equivale a más de 10.000 mensuales en diversos países de la región.
La compañía de detección de amenazas ESET se encuentra analizando AceCryptor, una malware con existencia desde el 2016 y que ha sido utilizado para atacar a decenas de familias. Durante 2021 y 2022, la telemetría de ESET reconoció más de 240.000 detecciones para este malware, lo que equivale a más de 10.000 detecciones mensuales en diversos países de América Latina.
“Para los autores de malware, proteger sus creaciones contra la detección es una tarea desafiante. Los cifradores son la primera capa de defensa que utilizan los programas maliciosos. Aunque los cibercriminales pueden crear y mantener sus propios cifradores personalizados, para los actores de amenazas enfocados en el crimeware; es decir, en el dinero, desarrollar y mantener un cifrador en el estado denominado FUD (totalmente indetectable) puede ser una tarea técnicamente difícil o que requiere mucho tiempo. La demanda de este tipo de protección ha dado lugar al desarrollo de un modelo de negocio conocido como cifrado como servicio (CaaS, por sus siglas en inglés) para empaquetar malware. Estos 'cryptos' pueden incluir múltiples técnicas antimáquinas virtuales, antidebugging y antianálisis combinadas para lograr ocultar el componente malicioso o payload”, explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Dentro de los aspectos clave del análisis la empresa señala que AceCryptor brindar servicios de empaquetado a decenas de familias de malware sumamente conocidas y que su uso es frecuente alrededor del mundo. Además, el cifrador está muy ofuscado y, a lo largo de los años, ha incorporado muchas técnicas para evitar la detección.
Le puede interesar: Claves para fortalecer las políticas públicas de ciberseguridad en la región
Desde sus primeras apariciones en 2016, una gran cantidad de autores de malware utilizaron los servicios de este cifrado, inclusive el popular malware Emotet cuando no utilizaba su propio cifrador. Durante 2021 y 2022, ESET detectó más de 80.000 muestras únicas de AceCryptor, es por la la gran cantidad de familias de malware diferentes incluidas, que se asume que AceCryptor es comercializado en algún lugar bajo el modelo de “cryptor-as-a-service” (CaaS).
Con base al 2021-2022, ESET descubrió que el cifrador fue distribuido de manera uniforme, lo cual es lógico tomando en cuenta que es un malware utilizado por una gran cantidad de actores de amenazas que no sincronizan sus campañas. Tras analizar los programas maliciosos empaquetados por AceCryptor, ESET descubrió más de 200 nombres de detección diferentes.
Cabe aclarar que para una misma familia de malware pueden existir diferentes nombres de detección correspondientes a variantes individuales debido a actualizaciones o cambios en las ofuscación.
“El monitoreo de las actividades de los proveedores de CaaS como AceCryptor es útil para monitorear el malware que utiliza sus servicios. Ser capaz de detectar AceCryptor (y otros CaaS) ayuda con la visibilidad de nuevas amenazas emergentes, y también con el monitoreo de las actividades de los actores de amenazas”, agrega Gutiérrez.
Debido a que AceCryptor se utiliza en múltiples actores de amenazas, el malware empaquetado por este cifrador también se distribuye de diversas maneras. Según ESET, los dispositivos que estuvieron expuestos al malware empaquetado con AceCryptor principalmente fue a través de instaladores de software pirata troyanizados o a través de o correos electrónicos no deseados que contenían archivos adjuntos maliciosos.