Crimeware: el crimen del Siglo XXI

Autor: Lic. Cristian Borghello, Technical & Educational Manager de ESET Latinoamrica 10 de septiembre de 2009

ESET Latinoamrica Av. Del Libertador 6250 6to piso C1428ARS Buenos Aires, Argentina info@eset-la.com www.eset-la.com

Crimeware: el crimen del Siglo XXI 2

Introduccin
Durante milenios el ser humano ha encontrado distintas formas de realizar actos vandlicos, fraudes o engaos en contra de sus semejantes. El siglo XXI, con toda su parafernalia tecnolgica, tampoco es ajeno a esta situacin y, si bien los nombres que reciben estos ataques pueden haber cambiado, siempre se trata de concebir una metodologa para obtener una ventaja econmica sobre el otro. Actualmente, la industria del malware se muda irreversiblemente desde el cliente hacia los servidores en Internet dando forma a una nueva economa virtual y paralela que mueve sumas millonarias de dinero. El crimeware es cualquier tipo de malware que ha sido diseado y desarrollado para perpetrar un crimen del tipo financiero o econmico.

Crimeware: el crimen del Siglo XXI 3

Es inmoral pero el dinero lo hace correcto

Jeanson James Ancheta, primer condenado en EE.UU. por controlar una Botnet en 2005 http://en.wikipedia.org/wiki/Jeanson_James_Ancheta

Historia
La creacin de sistemas informticos automticos capaces de realizar mltiples tareas, data de la dcada del 40, perodo en que John Louis Von Neumann establece la idea de programa almacenado (Arquitectura Von Neumann) [1] y regala al ser humano una nueva herramienta para llevar a cabo labores impensables hasta ese momento. A partir de all, la aparicin de nuevas formas de crear programas susceptibles de replicarse no se ha detenido. Como consecuencia, nace en 1983 lo que se considera el primer virus informtico, desatando una carrera armamentstica que contina hasta nuestros das. El objetivo primigenio de esta competencia era la bsqueda de fama y reconocimiento por parte de sus creadores, pero actualmente ha mutado a fines econmicos para obtener dinero de los usuarios. Posteriormente, y si bien es difcil establecer fechas exactas por las caractersticas dinmicas de la tecnologa, el entorno de amenazas creci hasta el punto en que hoy miles de archivos dainos aparecen a cada minuto y muchos de ellos han generado prdidas multimillonarias a los usuarios y a las organizaciones, con costos asociados a prdidas o daos directos ocasionados por el programa, prdida de informacin sensible vital para el negocio, inversin de tiempo y dinero para eliminar la amenaza, dao a la imagen y muchas otras. As, con el nacimiento del nuevo milenio y la evolucin de las amenazas en concomitancia con los adelantos tcnicos y tecnolgicos, el malware se convirti en una herramienta ms para llevar adelante los delitos que la humanidad practica desde siempre.

Definiciones necesarias
Un delito es definido como una conducta, accin u omisin tpica (tipificada por la ley), antijurdica (contraria al Derecho), culpable y punible. Supone una conducta infraccional e intencional del derecho penal, es decir, una accin u omisin tipificada y penada por la ley [2].

Crimeware: el crimen del Siglo XXI 4

Un crimen por computadora (computer crime), ms ampliamente conocido como delito informtico, es una violacin de la ley que se realiza en forma deliberada utilizando un equipo informtico o contra un equipo informtico o una aplicacin que se ejecute en l [3]. Se refiere a una actividad donde cualquier infraestructura tecnolgica actual que emplee equipos informticos es el origen, la herramienta o el objetivo de un ataque. Es importante destacar que, en forma general, se llama crimen o delito a este tipo de acciones que transgreden la ley, pero de acuerdo a las distintas legislaciones (o la no existencia de ellas) en cada pas, las mismas podran no ser castigadas. En muchos casos, la ausencia de leyes que especifiquen claramente cundo se habla de una accin relacionada con equipos informticos, tipificada y susceptible de ser considerada objeto de pena por parte de la ley, produce un hueco legal que libra de condena a los culpables de estas actividades. Si bien el cibercrimen no cambia las reglas actuales al definir la comisin de un delito, el hecho de que el mismo se lleve a cabo en un lugar no fsico como el ciberespacio es utilizado como nuevo pretexto para evadir las leyes y, por ende, la correspondiente pena. Los delitos se llevan a cabo cuando existe una Motivacin, Oportunidad e Intencin (Motivation, Opportunity, Means, segn sus siglas en ingls). Por lo tanto, cualquier situacin que propicie alguna de estas tres variables ser de potencial xito para el atacante. Tambin se dice que un crimen comprende un objetivo perseguido, los instrumentos para cometerlo y el material necesario (targets, tools, material, las tres T, segn sus siglas en ingls). Las herramientas tecnolgicas actuales potencian estas variables y brindan al cibercriminal factores aptos para ser aprovechados favorablemente, tales como: Dependencia de la tecnologa: la relacin estrecha con la tecnologa hace que los usuarios se conviertan en dependientes de ella. Anonimato y suplantacin de identidad: la relativa facilidad para desaparecer en el mundo virtual dificulta el rastreo de los responsables de acciones maliciosas u ilegales. Adems, es sencillo para el atacante hacerse pasar por quien no es o encubrir su identidad. Facilidad de adaptacin: las herramientas pueden ser modificadas fcilmente para adaptarse al medio y a las dificultades encontradas durante su empleo. Escalabilidad: un solo programa daino (o ataque o transaccin) puede generar grandes ingresos (ms por menos). Universalidad de acceso: cualquiera puede convertirse en un delincuente porque las herramientas estn al alcance de todos, al igual que las vctimas. Proliferacin de herramientas y cdigos: este tem se encuentra relacionado directamente con el punto anterior, ya que Internet provee las herramientas necesarias para que cualquier persona con escasos conocimientos pueda llevar adelante un delito informtico.

Crimeware: el crimen del Siglo XXI 5

Dificultad para perseguir a los culpables: las jurisdicciones internacionales son un escollo difcil para establecer caminos legales y llegar a un atacante. Intangibilidad de las pruebas: teniendo en cuenta que este tipo de delitos se llevan a cabo en el mundo virtual, obtener pruebas vlidas y lograr que la corte las comprenda y considere reviste una cierta dificultad. Grupos de delincuentes profesionales: miles de grupos integrados por distintos personajes con diversos niveles de conocimiento tcnico, legal y financiero (trabajo interdisciplinario) logran una profesionalizacin del cibercrimen difcil de imaginar. Escasa conciencia por parte del usuario: el mismo suele utilizar cualquier tipo de tecnologa sin recibir capacitacin al respecto. Para mencionar slo algunos ejemplos, un tipo de crimen que envuelve a la tecnologa informtica como medio y como objetivo es el ataque de denegacin de servicio, donde un dispositivo o infraestructura ve saturados sus servicios por una sobrecarga intencional del mismo. Por otro lado, delitos que involucran a la tecnologa informtica pero persiguen otros fines ms profundos son el robo de informacin, robo de identidad, ciberterrorismo [4] o Information Warfare [5], en los que se intenta obtener una ventaja sobre el adversario indiferentemente de los medios utilizados. El alcance del presente trabajo no contempla este tipo de ataques. Una vez definidos los delitos informticos, es necesario conocer las herramientas por medio de las cuales se los lleva a cabo actualmente. Se define como malware a cualquier programa informtico que pueda representar algn riesgo de dao hacia un equipo o sus sistemas y aplicaciones. Definido de modo amplio, este perjuicio puede ser del tipo fsico (muy poco comn), relacionado con los tiempos de procesamiento, econmico, de fuga o prdida de informacin, de interferencia, interrupcin o saturacin de servicios, dao explcito a la informacin, a la reputacin, etc. En forma general, se denomina malware a todos los tipos de programas dainos actuales: virus informtico, troyano, gusano, spyware, ransomware, etc. Si bien la creacin de malware es realizada por personas con pocos escrpulos y en busca de dinero fcil, su primer objetivo es la propagacin de estos archivos dainos y la instalacin de los mismos en el sistema del usuario, lo que se logra a travs de tcnicas de persuasin y engao conocidas como Ingeniera Social [6] y del aprovechamiento de diversas vulnerabilidades en las aplicaciones utilizadas por los usuarios. Esta necesidad de propagar el malware creado ha dado nacimiento a otras infraestructuras como la diseminacin de correos basura (spam) y la utilizacin de canales como las redes P2P y la

Crimeware: el crimen del Siglo XXI 6

mensajera instantnea para seguir con la cadena de usuarios infectados. La creacin y diseminacin de malware para afectar sistemas y aprovechar sus ventajas son los primeros pasos para llevar adelante cualquier tipo de ataque o crimen actual. Por extensin, crimeware es cualquier tipo de malware que ha sido diseado y desarrollado para perpetrar un crimen del tipo financiero o econmico. El trmino fue acuado por el Secretario General del Anti-Phishing Working Group, Peter Cassidy, [7] para diferenciar este tipo de amenaza de otras clases de software malicioso. Originalmente, el crimeware abarcaba dos acciones principales: Robo de credenciales en lnea: cualquier dato que pueda ser utilizado para identificar a un usuario. Realizacin de transacciones comerciales o financieras no autorizadas: llevar a cabo acciones con los datos obtenidos para robar, estafar, defraudar o timar financieramente a la vctima. Actualmente, el crimeware envuelve adems a todos los procedimientos que sirven de objetivo y plataforma para soportar esas acciones delictivas. Como es fcil apreciar, el fin es puramente econmico. Hoy ms que nunca cobra sentido la frase la informacin es poder, y ese poder se logra con dinero (y viceversa). Millones de sistemas infectados son utilizados para enviar malware actualizado, continuando as su ciclo de propagacin. En la actualidad, este mecanismo ha permitido reclutar millones de PC que son controladas por un usuario con fines maliciosos, formando lo que se conoce como botnet.

Evolucin constante
Si se puede hablar de un secreto en la industria millonaria del crimeware, ste es la evolucin constante de las nuevas creaciones de archivos dainos, incorporando renovadas funciones tcnicas y de engao contra el usuario. En los 80 y 90, la creacin de virus informticos (programas capaces de realizar una infeccin, definida como la accin de modificar un archivo existente del sistema) tena como objetivo, en general, encauzar el desafo personal e intelectual del autor y su bsqueda de conocimiento tcnico y de funciones poco conocidas o explotadas del sistema operativo. Cuando este conocimiento pas la barrera de lo puramente tcnico y de las motivaciones personales, comenzaron a aflorar nuevos objetivos como el econmico. Hoy en da, algunos de los

Crimeware: el crimen del Siglo XXI 7

mviles pueden ser psicolgicos, de revancha o venganza, polticos, de espionaje y, por supuesto, financieros. La forma propicia de llevar adelante estos delitos es la suplantacin de identidad. Muchas veces, el robo de identidad incluye cualquier actividad relacionada con la obtencin de los datos privados de la vctima (nombre de usuario, contraseas, PIN, nmeros de tarjeta de crditos, etc.), aunque suele ser llevada a cabo a travs de un equipo informtico. Los delitos referidos a esta forma de robo de identidad son uno de los tipos de crmenes que ms han crecido en el ltimo tiempo. Por supuesto, la evolucin de nuevos medios de comunicacin en concomitancia con las ventajas de la tecnologa no pas desapercibida para los creadores de malware, que se valieron de su utilizacin masiva para propagar sus creaciones. En el siglo XX era comn que el malware atacara funcionalidades y programas relacionados o ntimamente ligados al sistema operativo, por lo que los canales de ingreso eran relativamente fciles de controlar o, al menos, existan en cantidad limitada y se conocan. Actualmente, cualquier aplicacin puede ser utilizada como medio para infectar al usuario a partir del aprovechamiento de sus vulnerabilidades como plataforma de ataque. Todas las aplicaciones tienen algn punto sensible o susceptible de ser explotado y, por lo tanto, cualquiera de ellas es un medio potencial que podr ser utilizado por los creadores de malware. El crimeware se propaga haciendo uso de dos canales: la Ingeniera Social y la explotacin de vulnerabilidades [11]. Presenta, adems, las siguientes caractersticas: Actualizacin constante desde Internet: cuando un malware es modificado (muchas veces con motores automticos), la versin anterior, ya instalada en el cliente, descarga las nuevas variantes. Como puede verse, este mtodo es el mismo utilizado por cualquier otra aplicacin normal instalada por el usuario. Explotacin de diferentes medios para la instalacin: se utilizan exploits para cualquier aplicacin comnmente utilizada por el usuario (archivos PDF, MP3, ANI, WMF, etc.) Empaquetamiento: esta funcin comprende la compresin de los archivos ejecutables dainos para facilitar la propagacin (un archivo ms pequeo es ms fcil de replicar por distintos medios) y evitar la deteccin por parte de las herramientas antivirus (un archivo ms pequeo es ms fcil de modificar constantemente). Cifrado y ofuscamiento: se cifran u ofuscan las funciones del malware y la informacin extrada de los sistemas infectados, para evitar el anlisis por parte de los especialistas. Motores polimrficos: se intenta que cada infeccin sea distinta a la anterior modificando automticamente el cdigo del programa daino. Con esta funcin se evita que los programas antivirus con capacidades proactivas y de heurstica limitada puedan detectarlo.

Crimeware: el crimen del Siglo XXI 8

Tcnicas de defensa: cada programa daino es capaz de detectar el anlisis del sistema o de las aplicaciones involucradas, evitar el debug, el uso de sistemas virtualizados, la eliminacin de las aplicaciones infecciosas, etc. Instalacin silenciosa y ocultamiento: cada programa es diseado, ya no para mostrarse abiertamente al usuario, sino con el objetivo de permanecer oculto el mayor tiempo posible en el sistema afectado. El tiempo de permanencia del malware en el equipo es directamente proporcional a la cantidad de informacin (y dinero) obtenida. Para ello, algunas de las herramientas utilizadas son los rootkits, capaces de ocultar funciones al sistema operativo y, consecuentemente, al usuario o a las herramientas de anlisis y deteccin. Movimiento del cdigo desde el cliente hacia los servidores: esta caracterstica ha cobrado relevancia a principios de este siglo ya que as como las aplicaciones han comenzado su migracin hacia la web, el malware tambin lo hace progresivamente. Con respecto al ltimo punto cabe destacar que, del mismo modo que hoy en da es habitual crear y compartir con otras personas un documento de ofimtica en Internet, es normal el desarrollo de aplicaciones compartidas por parte de los delincuentes, oportunidad en la cual cada integrante desarrolla alguna funcin en particular del crimeware. As como es usual que las actualizaciones de cualquier aplicacin se descarguen desde el servidor del fabricante, es normal lo mismo en lo que respecta al malware. En este nuevo modelo, la plataforma de ataque se encuentra o se est moviendo definitivamente hacia Internet y ya no se centra en el cliente, ms que como un objetivo. Como resultado de esta migracin, nace el Crimeware as a Service (CaaS), referido al ofrecimiento a travs de la web de servicios de creacin, actualizacin, cifrado y polimorfismo del malware instalado en el cliente. Este sistema brinda todas las caractersticas anteriores y con la velocidad necesaria para satisfacer la demanda de cualquier atacante. El nombre de este tipo de servicio guarda relacin directa con Software como Servicio (SaaS por sus siglas en ingls, Software as a Service) [19], modelo de distribucin de software en el cual la compaa de IT provee el servicio de mantenimiento, operacin diaria y soporte del mismo. El grado de variabilidad y volatilidad de estas nuevas creaciones tiene la ventaja (para sus autores) de que son muy difciles de obtener para analizarlas, lo que evita su estudio y deteccin. Muchas de estas amenazas nunca llegan a los analistas o llegan demasiado tarde (flying under the radar). En este contexto, aparece tambin un nuevo modelo de negocios denominado Criminal to Criminal (C2C). ste se define como el negocio realizado entre criminales a travs de diferentes

Crimeware: el crimen del Siglo XXI 9

canales. De este modo, adems, se conforma el mercado negro virtual, en donde se trafican cdigos maliciosos e informacin obtenida de forma fraudulenta a cambio de dinero [18].

Los nmeros y el dinero

Cualquier medio de comunicacin informtico puede ser utilizado para propagar crimeware y, actualmente, todos ellos confluyen en Internet, donde alcanzan niveles de uso masivos. En consecuencia, la industria del malware se muda irreversiblemente desde el cliente hacia los servidores en Internet, con objetivos econmicos, mientras que el crimeware ha dado forma a una nueva economa virtual y paralela que mueve sumas millonarias de dinero no registrado o muy difcil de rastrear. Por eso, el Convenio sobre cibercriminalidad del Consejo de Europa (en ingls, Council of Europe Convention on Cybercrime) [3] reconoci en 2001 la urgencia de luchar contra el cibercrimen e inst a todos los pases a colaborar adoptando medidas y legislaciones tendientes a combatir en forma adecuada este tipo de crmenes. Si bien es complicado realizar clculos que brinden nmeros reales, es necesario dar, de algn modo, una idea acabada de esas sumas de dinero. Estimaciones de Valerie McNiven, consejera en asuntos de cibercrimen del gobierno norteamericano, indican que el crimeware registra ms transacciones y dinero que el narcotrfico [9]. Segn datos recogidos por el Laboratorio de ESET [8], el 66% del malware actual creado en Latinoamrica corresponde a distintas variantes de troyanos, gran parte de los cuales tiene el objetivo de recolectar informacin privada del usuario, de una corporacin o relacionada con la finanzas de cualquiera de ellos.

Crimeware: el crimen del Siglo XXI 10

El siguiente grfico muestra estos porcentajes:

Imagen 1 Tipos de malware en Latinoamrica

Si bien muchos de estos programas diseados en pases como Brasil (en un alto porcentaje), Argentina, Mxico, Colombia y Per no alcanzan la evolucin de otras versiones desarrolladas en Asia (principalmente China) y Europa del Este (pases de la ex Unin Sovitica en su mayora), todos ellos muestran el mismo patrn: son creados para obtener informacin financiera del usuario o para manipular al mismo para que entregue esa informacin. Con respecto a las prdidas anuales ocasionadas por el crimeware, es difcil establecer un parmetro que sirva de comparacin y medicin ya que la mayora de las organizaciones mantienen como confidencial la informacin sobre si han sufrido este tipo de ataques, debido a que la trascendencia de la misma podra daar su imagen. Por ejemplo: mi2g, empresa pionera en la gestin de riesgos, estim este costo en U$S 290 mil millones durante el 2004 [14] (incluyendo amenazas como MyDoom, NetSky y SoBig) y otro estudio de Computer Economics mencion que en el mismo ao se haban perdido U$S 17,5 mil millones [15] (16 veces menos). Sin entrar en detalles, se estima que slo el gusano detectado por

Crimeware: el crimen del Siglo XXI 11

ESET NOD32 como Conficker, creado en octubre de 2008 y que explota una vulnerabilidad ya parcheada en el servicio RPC de Microsoft Windows, ha causado prdidas por U$S 9 mil millones en 3,5 millones de equipos infectados [16].

Rentabilidad
Si se habla de un modelo econmico que rinde ganancias millonarias a diferentes actores del mercado negro, es fundamental comprender su monto y los motivos por los que resulta tan atractivo realizar negocios a travs de estos canales. Con este objetivo, se analizan dos modelos ampliamente explotados: el del spam y el del phishing. En este estudio se consideran resultados limitados en cuanto al xito del atacante, lo que implica que, en la realidad, tanto la cantidad de infecciones como las ganancias y la rentabilidad del negocio son mayores a las que se esbozan a continuacin con carcter expositivo.

Rentabilidad obtenida por un spammer

Un spammer es la persona responsable de realizar un envo masivo de correos. La rentabilidad del spam se puede calcular en forma sencilla de la siguiente manera: Gastos Compra del troyano escrito a medida: U$S 2.000 Alquiler de la botnet: U$S 5.000 Costos totales: U$S 7.000 (cabe destacar que se puede alquilar la botnet sin comprar el troyano, y viceversa) Ganancias Un troyano diseado para enviar spam, infecta 1.000 sistemas Cada sistema infectado enva 100.000 correos Un anunciante (advertiser), persona que contrata el servicio, paga U$S 0,002 por cada correo Ganancia: 1.000 * 100.000 * 0,002 = U$S 200.000

Crimeware: el crimen del Siglo XXI 12

Rentabilidad Ganancia Neta (Ganancia - Costos): U$S 200.000 - U$S 7.000 = U$S 193.000 ndice de rentabilidad (Ganancia / Costos): U$S 193.000 / U$S 7.000 = 25 veces Un caso particular de anlisis de un malware de este tipo, es el troyano detectado por ESET NOD32 como Waledac [13]. Esta amenaza cobr relevancia a fines de 2008 con mensajes navideos y, a partir de ese momento, ha cambiado sus tcnicas de Ingeniera Social constantemente para seguir infectado sistemas y esparciendo correo basura. Se considera a Waledac como la evolucin de Nuwar (tambin conocido como Gusano de la Tormenta) que, desde enero de 2007, haba creado diferentes formas de engaar a los usuarios. Actualmente, una botnet alquilada asegura el envo de un milln de mensajes por un costo que vara entre U$S 100 y U$S 150. Segn un anlisis del Laboratorio de ESET Latinoamrica [8], un 1 nico sistema infectado con Waledac puede enviar 150.000 correos diarios. En consecuencia, podramos aseverar que con slo infectar 7 equipos el dueo de la botnet puede proporcionar este servicio sin inconvenientes. Las evaluaciones se dividieron en 4 etapas de una hora cada una, realizadas en diferentes horarios: Etapa 1: entre las 18:00 y las 19:00 hs. Se enviaron 6.968 correos Etapa 2: entre las 20:30 y las 21:30 hs. Se enviaron 7.148 correos Etapa 3: entre las 10:00 y las 11:00 hs. Se enviaron 5.610 correos con utilizacin del sistema Etapa 4: entre las 13:00 y las 14:00 hs. Se enviaron 6.568 correos con utilizacin del sistema Promedio de envo por hora: 6.548 correos Promedio por minuto: 109 (casi dos correos por segundo) Promedio diario: 156.000 correos enviados

Con este promedio diario, si se tiene en cuenta la infeccin de slo 500 equipos (un promedio aceptable segn SudoSecure [17], que se encarga de seguir esta amenaza da a da desde su aparicin) slo Waledac estara generando 78 millones de correos basura diarios; en su caso, acerca de productos farmacuticos.

La versin utilizada de Waledac corresponde al archivo con MD5: 8036ce700043ce6dbe38561ff12d7f4c. Deteccin: http://www.virustotal.com/es/analisis/4d2cfd73cbceac4b191d8b5f3749c0b6

Crimeware: el crimen del Siglo XXI 13

Rentabilidad obtenida por un phisher

Un phisher es la persona responsable de realizar ataques del tipo phishing. La rentabilidad del phishing puede calcularse de la siguiente manera: Gastos Un kit de phishing puede adquirirse por U$S 10, asumiendo que el delincuente desee comprarlo y no desarrollarlo por s mismo Costo de una base de datos de correo actualizada: U$S 8 Alquiler de servidor para enviar correo, por da: U$S 120 (incluso se puede anular este costo) Se envan 100.000 correos cada 6 hs. (400.000 en el da). Se asume que no se alquila una botnet y que no se utiliza un troyano como Waledac. Sitio vulnerado para alojar la pgina falsa: U$S 10 Tarjeta de Crdito vlida adquirida a personas que las comercializan ilegalmente: U$S 8 Registro del dominio (con la Tarjeta de Crdito): U$S 10 Costos totales: U$S 10 + U$S 8 + U$S 120 + U$S 10 + U$S 8 + U$S 10 = U$S 166 Ganancia La tasa de xito de un correo de phishing es de 0,0001. Una persona es engaada cada 10.000 correos enviados (con 400.000 correos diarios son engaados 40 usuarios) Promedio de ganancia (dinero u objetos) obtenido por cuenta robada: U$S 1.000 Ganancia: 40 * U$S 1.000 = U$S 40.000 Rentabilidad Ganancia Neta (Ganancia - Costos): U$S 40.000 - U$S 166 = U$S 39.834 ndice de rentabilidad (Ganancia / Costos): 39.834 / 166 = 240 veces

Crimeware: el crimen del Siglo XXI 14

Como puede verse en estos clculos orientativos, con poco esfuerzo el delincuente obtiene una rentabilidad muy grande, casi sin correr riesgos de ningn tipo. A continuacin, se muestran las acciones fraudulentas con mayor ndice de rentabilidad:

Accin Phishing Remates falsos desde cuentas robadas Spam Simulacin de tareas con Bots Instalacin de Adware/Spyware Extorsin online Trfico de credenciales Inyecciones de cdigo Compra/venta de nmeros de tarjetas de crdito robadas (carding)

Rentabilidad 400 (en el ejemplo del presente trabajo, 240) 317 187 (en el ejemplo del presente trabajo, 25) 166 102 32 31 27 9

Tabla 1 - Rentabilidad por tipo de accin fraudulenta. Fuente: Virus Bulletin 2007 [12]

Paradjicamente, el modelo del crimeware es tan eficiente que pasa desapercibido para los delincuentes, dado que el volumen de informacin robada es tan elevado que resulta imposible de ser procesado. Por ejemplo, en enero de 2007, un estudio publicado por RSA mencionaba que los datos recopilados por un troyano correspondan a informacin del navegador, direcciones IP, contraseas y nombres de usuario de alrededor de 70.000 equipos infectados en 160 pases durante un mes [10]. Por supuesto que si algunos delincuentes no se percatan de ello, mucho menos lo hace el pblico.

Crimeware: el crimen del Siglo XXI 15

A medida que los datos obtenidos continan siendo procesados, los servicios se segmentan y dan lugar a una mayor profesionalizacin del crimeware: aparecen nuevos actores con funciones ms granulares cobrando sus servicios en un mercado cada vez ms rentable.

Kit de infeccin y ataque

Si bien luego de lo expuesto puede parecer complicado armar toda la infraestructura que da soporte a esta red de criminales, la verdad es que el mercado negro actual provee estas herramientas (generalmente conocidas como kit) y las sita al alcance de cualquiera que cuente con las motivaciones delictivas necesarias para buscarlas. A mediados de 2007 se hizo conocido en Rusia uno de los primeros kits que permita instalar scripts dainos en sistemas previamente vulnerados. MPack (Webattacker II) costaba entre U$S 700 y U$S 1.000 y se ofreca con un ao de soporte por parte de sus autores. Adems, si el comprador deseaba incorporar nuevas funcionalidades, poda adquirir exploits desde U$S 50 a U$S 150 dependiendo de la criticidad del mismo. En cambio, el precio de un exploit 0-day vara entre U$S 5.000 y U$S 50.000. A partir de ese momento no han dejado de aparecer nuevas opciones y a medida que los cdigos van cobrando estado pblico son perfeccionados. Algunos de ellos se muestran a continuacin:

Kit o Pack 76Service Adrenalin YES Exploit System Barracuda Full versin Barracuda Lite versin CRUM Cryptor Polymorphic CRUM Joiner Polymorphic Phishing Framework Pack

Costo De U$S 1.000 a U$S 2.000 U$S 3.500 U$S 700 U$S 1.600 U$S 1.000 U$S 100 U$S 50 + U$S 20 por las actualizaciones U$S 400 + U$S 10 por cada sitio que se le solicite

Crimeware: el crimen del Siglo XXI 16

duplicar Unique Pack U$S 600 + U$S 50 por actualizacin

Tabla 2 - Costo de los diferentes kits existentes

A continuacin se muestran dos sitios web donde se anuncia la venta de este tipo de crimeware. 2 El primero de ellos, Unique Pack, es ruso y se vende con un costo de U$S 600 mientras que el segundo, un troyano argentino, es comercializado a travs de PayPal y con manual de uso en su sitio web:

Imagen 2 Kits a la venta en Internet

WMZ es la moneda virtual de WebMoney equivalente a dlares norteamericanos http://en.wikipedia.org/wiki/WebMoney

Crimeware: el crimen del Siglo XXI 17

Adems, cada uno de estos kits es capaz de explotar distintas vulnerabilidades para posibilitar la infeccin de una mayor cantidad de sistemas. Algunas de estas vulnerabilidades son: MS06-014 (MDAC_RDS). Crtica, solucionada en abril de 2006. MS06-055 (VML). Crtica, solucionada en septiembre de 2006. MS06-057 (WebViewFolderIcon). Crtica, solucionada en octubre de 2006. MS06-067 (DirectAnimation_KeyFrame). Crtica, solucionada en noviembre de 2006. MS06-071 (MSXML_setRequestHeader). Crtica, solucionada en noviembre de 2006. SuperBuddy LinkSBIcons (CVE-2006-5820) OurGame various errors (SA30469). Junio de 2008 QuickTime RTSP (CVE-2007-0015) NCTAudioFile2 SetFormatLikeSample (CVE-2007-0018) Buffer overflow en Adobe Flash Player (CVE-2007-0071) Yahoo! Webcam Uploader (CVE-2007-3147) Yahoo! Webcam Viewer (CVE-2007-3148) Adobe Collab overflow (CVE-2007-5659) GomPlayer OpenURL (CVE-2007-5779) Aurigma Photo Uploader (CVE-2008-0660) Creative CacheFolder (CVE-2008-0955) WksPictureInterface (CVE-2008-1898) Office Snapshot Viewer (CVE-2008-2463) Adobe util.printf overflow (CVE-2008-2992) Windows Media Encoder (CVE-2008-3008) Como puede verse, existen herramientas de infeccin y ataque para casi cualquier software por lo que si el usuario no actualiza todas sus aplicaciones, se constituye en una potencial vctima. Adems, como muchos de estos kits son modulares, se pueden incorporar o solicitar nuevos mdulos con un costo extra.

Metodologa
Internet brinda las herramientas necesarias para almacenar la informacin obtenida, ya que la misma es enviada utilizando canales como FTP, motores SMTP propios para el envo de correos, scripts dinmicos diseados para escuchar comandos y almacenar la informacin en base de datos y canales, redes y protocolos IRC y P2P. En el malware actual ms evolucionado, estos canales se encuentran cifrados para evitar el anlisis de la informacin robada.

Crimeware: el crimen del Siglo XXI 18

Al ser un software, el crimeware tiene las mismas caractersticas y ventajas de cualquier otro tipo de aplicacin, por lo que puede ser distribuido por diferentes mecanismos: Ingeniera Social: para convencer y persuadir al usuario de sus ventajas y que ste lo instale. Este mecanismo es utilizado y perfeccionado cada da por los delincuentes. Inyeccin de la aplicacin o el script en sitios web: cuanto ms conocido y popular sea el sitio, mayor ser el xito de la distribucin del malware. Se suelen utilizar mecanismos de Black 3 SEO para hacer crecer artificialmente la popularidad de un sitio o bien inyectar los scripts en sitios populares. Qu pasara si alguien inyecta un script daino en Google? Aprovechamiento de vulnerabilidades en sitios web: se buscan automticamente vulnerabilidades de Cross-Site Scripting (XSS) y de Inyeccin SQL [20] (y de cualquier otro tipo) en los sitios para insertar los scripts mencionados anteriormente. Aprovechamiento de vulnerabilidades en las aplicaciones y en cualquier sistema operativo: cuanto ms popular sea la aplicacin, mayor ser su utilizacin y aprovechamiento. Insercin de aplicaciones dainas en software conocido o creacin de aplicaciones falsas (rogue o scareware). Una vez propagadas e instaladas las aplicaciones, pueden aprovecharse sus beneficios econmicos y financieros de la siguiente forma: Robo de informacin personal para venta en mercados secundarios(por ejemplo, ataques de phishing) Robo de secretos comerciales y propiedad intelectual para ataques dirigidos, fraudes, extorsin, etc. Ataques de denegacin de servicios distribuidos (DDoS) lanzados desde los usuarios infectados. Envo de spam Fraudes de clic, simulando trfico hacia publicidad online. Ransomware, aplicaciones orientadas a secuestrar el sistema operativo o documentos del usuario para luego cobrar una recompensa por su recuperacin. Cientos de otros fines.

SEO: Search Engine Optimizer: Mtodos para posicionar adecuadamente un sitio web en los buscadores. Si se utiliza con fines fraudulentos, se habla de Black SEO http://es.wikipedia.org/wiki/Posicionamiento_en_buscadores

Crimeware: el crimen del Siglo XXI 19

A modo de ejemplo, uno de los caminos podra ser el siguiente: 1. El usuario ingresa a un sitio web. 2. El sitio ha sido previamente vulnerado y se ha dejado un script en el mismo (generalmente desarrollado en VisualScript o JavaScript). 3. Valindose de una vulnerabilidad en el sistema del usuario, el script descarga un archivo ejecutable (malware) y lo ejecuta en forma transparente sin que el usuario se percate de ello. 4. El malware puede ser un troyano del tipo bot que escucha comandos brindados por un delincuente radicado en cualquier lugar del mundo. Sin depender de las distancias fsicas, en ese momento el atacante tiene el control del sistema como si estuviera sentado delante de l. 5. El delincuente puede entonces realizar lo que desee con ese equipo (robo de informacin, envo de spam, distribucin de otros malware, alojamiento web de pornografa o pedofilia, ataques distribuidos, etc.). Este mtodo no es el nico, ya que las tcnicas del crimeware se perfeccionan y actualizan cada da haciendo uso de todo medio tecnolgico disponible. En la siguiente imagen, se puede apreciar el robo de informacin a travs del envo de la misma utilizando los protocolos HTTP (un script PHP) y SMTP (el envo de un correo):

Imagen 3 Envo de informacin robada al usuario

Crimeware: el crimen del Siglo XXI 20

Actores
La profesionalizacin del crimeware requiere que cada servicio sea ofrecido por distintas personas o grupos delictivos, cada uno de los cuales obtiene sus ganancias en base a las tareas realizadas y al volumen de las mismas. De este modo, se originan los roles de los distintos actores que intervienen en este escenario virtual. En el siguiente grfico, se pueden ver algunos de ellos y las relaciones que los vinculan:

Imagen 4 Diferentes actores del crimeware y su relacin. Fuente: Virus Bulletin 2007 [12]

Si bien el grfico slo muestra algunos de ellos, el esquema sirve para comprender el ciclo de vida en el que se encuentran insertos. Por ejemplo, el desarrollador de malware escribe piezas de cdigo a pedido de sus distribuidores, de un spammer o de alguien que se dedica a recolectar informacin personal. El distribuidor lo puede vender a un botner o bot herder [23] (dueo de la botnet) quien, a su vez, alquila los sistemas que haya infectado. Por otro lado, un carder [24] (persona que se dedica a defraudar utilizando nmeros de tarjetas de crdito robadas) puede vender sus servicios a sitios fraudulentos responsables de comercializar productos y servicios a las vctimas.

Crimeware: el crimen del Siglo XXI 21

Este diagrama sirve, adems, para demostrar cun difcil puede ser la desarticulacin del funcionamiento de estas redes de delincuentes, ya que para lograrlo es necesario detener el accionar de varios grupos. Por otro lado, su reorganizacin no suele tomar demasiado tiempo dado que, en caso de ser aprehendida alguna de las partes, no es difcil encontrar un sustituto que haga su trabajo. Por ejemplo, en septiembre de 2008 se dio de baja a Atrivo/Intercage (AS 27595), uno de los ISP ms importantes en el mundo vinculado a botnets como Srizbi, Cutwail, Mega-D y Storm. Dos meses despus se desbarat el ISP McColo (AS 2678) en cuyos servidores se alojaban los paneles de control (C&C) de botnet como Rustock, Srizbi, Pushdoy y Mega-D, responsables de generar gran cantidad de spam [21]. En ese momento, la cantidad de correo basura descendi un 50% o ms y la noticia cobr relevancia por el xito alcanzado. Sin embargo, los nmeros del spam no tardaron en recuperar sus ndices normales, tal como evidencia el siguiente grfico:

Imagen 5 ndice de spam mundial en el ltimo ao. Fuente SpamCop [22]

Crimeware: el crimen del Siglo XXI 22

Crecimiento de las botnet

La existencia de las botnet se remonta al ao 2002/2003 con la aparicin del troyano SDBot, uno de los malware de este tipo ms populares y antiguos (junto a Agobot, Spybot y GTBot) [25]. En ese entonces, las botnet de mayor tamao no superaban los 100.000 equipos infectados, aunque se debe considerar que puede haber decenas o centenas de redes. Ya en 2006 se consideraba que poda alcanzarse la suma de 5 millones de botnet, con un tamao de miles en vez de decenas de miles de equipos [26], pero con un poder de cmputo y conectividad mayor. Esto demuestra el gran inters de los delincuentes por construir su propio imperio de sistemas controlados.

Botnet Srizbi Bobax Rustock Cutwail Storm Grum OneWordSub Osdox/Mega-D

Host controlados 500.000 (antes de su baja en 2008) 185.000 150.000 (antes de su baja en 2008) 125.000 (antes de su baja en 2008) 85.000 (antes de su baja en 2008) 50.000 40.000 35.000 (antes de su baja en 2008)

Spam diario (miles de millones) 60 9 30 16 3 2 Desconocido 10

Tabla 3 - Tamao de botnet [27]

La mayora de las botnet mencionadas hacen uso de canales de IRC, muchos de ellos sin cifrar, por lo que es sencillo obtener datos de la estructura interna de la red. Sin embargo, redes ms evolucionadas como Phatbot, Peacomm, Zhelatin (o Strom) y los recientes Waledac y Conficker utilizan redes estructuradas de control sobre protocolos P2P cifrados, por lo que obtener informacin de las mismas se ha vuelto complicado.

Crimeware: el crimen del Siglo XXI 23

Legislacin internacional
Ha quedado claro que cometer delitos a travs del uso de las tecnologas no es demasiado complicado cuando se tiene la motivacin necesaria para delinquir. Por lo tanto, es hora de que cada pas comience a considerar seriamente las advertencias y consejos vertidos en 2001 en Council of Europe Convention on Cybercrime [3]. En el Captulo III de este convenio se insiste sobre la necesidad de que se realice un trabajo interdisciplinario y acordado entre los miembros de la comunidad internacional, para elaborar acuerdos que permitan un avance en las legislaciones que detenga el aumento del ciberdelito. En lo que respecta a Latinoamrica, existe legislacin vigente que se refiere a la creacin de malware y otros tipos de ataques relacionados con el crimeware, como (por ejemplo) el siguiente artculo de la Ley Argentina 26.388 promulgada en 2008, que modifica el Cdigo Penal, estableciendo:
Art. 10.- Incorprase como segundo prrafo del artculo 183 del Cdigo Penal, el siguiente: En la misma pena incurrir el que alterare, destruyere o inutilizare datos, documentos, programas o sistemas informticos; o vendiere, distribuyere, hiciere circular o introdujere en un sistema informtico, cualquier programa destinado a causar daos.

O el siguiente artculo de la Ley 19.223/1993 de la Repblica de Chile:

Artculo 2.- El que con el nimo de apoderarse, usar o conocer indebidamente de la informacin contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a l, ser castigado con presidio menor en su grado mnimo a medio.

Pero, indistintamente del pas que se tome en consideracin, se observan los siguientes inconvenientes: Dificultad para obtener evidencia: la misma no es tangible y su inmediatez la hace difcil de seguir y registrar. Dificultad para los abogados y jueces: la tecnologa actual no goza de buen entendimiento en estas reas y los expertos en la materia suelen tener dificultades para transmitirla. Interpretacin de la letra de la ley: al no pertenecer a una ciencia exacta, para cada abogado, juez, perito o persona en el mundo, la ley puede tener una interpretacin distinta. Si bien es responsabilidad de los legisladores que este impacto se minimice, a veces este objetivo no se logra y da lugar a brechas que son aprovechadas por los delincuentes.

Crimeware: el crimen del Siglo XXI 24

Volumen de informacin registrada: es difcil guardar cada hecho histrico a travs de logs y registros en cada lugar por el cual circula la informacin. Pases como Argentina ya han tenido problemas similares con leyes que intentan establecer este lmite [28]. Jurisdiccin internacional: cada pas decide qu guardar, qu entregar en caso de exhortos, qu condenar, etc. Secretos de estado o corporativos: en determinadas circunstancias una empresa o un estado podran decidir que no se entregue informacin a una autoridad judicial o policial, escudndose en razones comerciales o estratgicas.

Debido a estos y otros argumentos, hasta ahora la legislacin internacional y la jurisprudencia no avanzan a un ritmo acelerado, como s lo hacen la tecnologa y los criminales. Incluso, a veces parece insalvable el abismo que separa ambos mundos y tan solo se observan tmidos esfuerzos de algunos estados para impulsar la promulgacin de este tipo de leyes. Lamentablemente, y al tratarse de jurisdicciones internacionales, se torna difcil avanzar en algn sentido cuando quede al menos un pas desde el cual este tipo de criminales pueda seguir delinquiendo.

Estrategias de prevencin y conclusiones

Ante la mirada inquisitiva de distintos profesionales, el paisaje se presenta desolador e incluso los ms pesimistas podran decir que es intil cualquier esfuerzo por mejorarlo. Sin embargo, as como parece relativamente fcil delinquir, es bastante sencillo prevenir este tipo de hechos. 1. Existen herramientas de proteccin que el usuario debera considerar, y emplear con responsabilidad: un antivirus con capacidades proactivas que sea capaz de detectar programas dainos conocidos y desconocidos, un firewall que le permita filtrar conexiones entrantes y salientes, un filtro antispam, un detector de intrusiones (IDS); todas ellas herramientas provistas en ESET Smart Security. 2. La falta de concientizacin en el uso de las tecnologas es la siguiente barrera importante a levantar, educando sobre temas relacionados y sobre las medidas bsicas que cualquier usuario debera contemplar para hacer uso de la tecnologa. Debe recordarse que esta ltima slo es una herramienta para realizar cualquier tipo de tarea; no casualmente la misma tarea que realizan los delincuentes en contra del usuario. 3. Una vez comprendido eso (no es una tarea sencilla), debe contemplarse la seguridad por capas en donde cada estrato sirve como proteccin a los dems y, si se vulnera uno de ellos, ser tarea de los siguientes proteger el recurso; el dinero en un banco es protegido por guardias de seguridad, alarmas, cmaras, cerraduras, detectores de movimientos,

Crimeware: el crimen del Siglo XXI 25

puertas blindadas, cajas fuertes, etc. Cada elemento mencionado es una barrera que un ladrn deber sortear en caso de querer hacerse con el botn. Estas tres estrategias son relevantes a la hora de proteger un sistema. El secreto es comprenderlas y practicarlas. Cada nuevo avance de la humanidad representa nuevos desafos. Una vez que se entienda que la tecnologa es una herramienta y el escenario actual en el cual se desarrollan las actividades delictivas, ser responsabilidad de todos aportar lo necesario para que este siglo no siga siendo reconocido por el volumen de crimeware actual y que, al contrario, ste comience a ser revertido.

Crimeware: el crimen del Siglo XXI 26

Bibliografa y Weblografa
[1] Cronologa de los virus informticos. Lic. Cristian Borghello, CISSP. ESET Latinoamrica. 20062008 http://www.eset-la.com/threat-center/1600-cronologia-virus-informaticos [2] Delito. Wikipedia en espaol http://es.wikipedia.org/wiki/Delito http://buscon.rae.es/draeI/SrvltGUIBusUsual?TIPO_HTML=2&TIPO_BUS=3&LEMA=delito [3] Council of Europe Convention on Cybercrime. Ao 2001 http://www.usdoj.gov/criminal/cybercrime/COEFAQs.htm [4] Ciberterrorismo. Wikipedia en espaol http://es.wikipedia.org/wiki/Ciberterrorismo http://en.wikipedia.org/wiki/Cyber-terrorism [5] Information Warfare. Wikipedia en Ingls http://en.wikipedia.org/wiki/Information_warfare [6] Ingeniera Social. Lic. Cristian Borghello, CISSP. ESET. 2006-2008 http://www.eset-la.com/threat-center/1515-arma-infalible-ingenieria-social [7] Anti-Phishing Working Group http://www.antiphishing.org/ [8] Laboratorio de ESET Latinoamrica http://blogs.eset-la.com/laboratorio/ [9] El cibercrimen es ms lucrativo que el narcotrfico. Valerie McNiven, consejera por temas de cibercrimen del gobierno norteamericano. Noviembre de 2005 El cibecrimen es como el narcotrfico. Bruce Schneier. Diario El Pas. Enero 2008 http://labs.news.yahoo.com/s/nm/20051128/wr_nm/cybercrime_dc http://www.elpais.com/articulo/red/Schneier/cibecrimen/narcotrafico/elpeputeccib/20080117elpcibe nr_4/Tes http://www.schneier.com/blog/archives/2005/11/fraud_and_organ.html http://www.cybersource.com/news_and_events/view.php?page_id=1425 [10] Defensa contra el enemigo, la lgica detrs de la creciente amenaza del crimeware. Whitepaper RSA. 2007 http://9901_CRIME_WP_0607-lowres_LE

Crimeware: el crimen del Siglo XXI 27

[11] Crimeware: Understanding New Attacks and Defenses. Markus Jakobsson, Zulfikar Ramzan, Addison Wesley Professional. April 2008. ISBN-13: 978-0-321-50195-0 [12] Menace 2 the wires: Advances in the business models of cybercriminals. Guillaume Lovet. Virus Bulletin. September 2007 [13] Waledac: el troyano enamorado http://www.eset-la.com/threat-center/2042-waledac-troyano-enamorado [14] Informe de mi2g: $290 of malware damage per Windows PC worldwide in 2004 http://www.mi2g.com/cgi/mi2g/press/240804.php [15] Informe de Computer Economics: Annual Worldwide Economic Damages from Malware Exceed $13 Billion http://www.computereconomics.com/article.cfm?id=1225 [16] Confickers Infection Tracking. Mayo 2009 http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/InfectionTracking [17] Waledac Tracker http://www.sudosecure.net/waledac/ [18] The new battleground in cybercrime. Yuval Ben-Itzhak. Noviembre 2007 http://news.zdnet.com/2100-1009_22-178194.html 'BOT ROAST II'. Cracking Down on Cyber Crime http://www.fbi.gov/page2/nov07/botnet112907.html [19] SaaS Software como servicio. Wikipedia en espaol http://es.wikipedia.org/wiki/Software_como_servicio [20] Cross-Site Scripting (XSS). Wikipedia en espaol http://es.wikipedia.org/wiki/Cross_site_scripting Inyeccin SQL. Wikipedia en espaol http://es.wikipedia.org/wiki/SQL_injection [21] Baja de Attrivo/Intercage y McColo http://www.messagelabs.com/download.get?filename=MLIReport_2008.09_Sep_Final.pdf http://www.icann.org/correspondence/burnette-to-tsastsin-28oct08-en.pdf http://cidr-report.org/cgi-bin/as-report?as=AS27595&v=4&view=2.0 [22] SpamCop Year Statistics http://www.spamcop.net/spamgraph.shtml?spamyear

Crimeware: el crimen del Siglo XXI 28

[23] Botner o bot herder. Wikipedia en ingls http://en.wikipedia.org/wiki/Bot_herder [24] Credit card fraud. Wikipedia en ingls http://en.wikipedia.org/wiki/Credit_card_fraud [25] Botnets, redes organizadas para el crimen. Lic. Cristian Borghello, CISSP. ESET Latinoamrica. 2008 http://www.eset-la.com/threat-center/1573-botnets-redes-organizadas-crimen [26] Malware: Worms and Botnets. Vitaly Shmatikov. Stanford. April 2009 http://www.cs.utexas.edu/~shmat/courses/cs378_spring09/13botnets.ppt [27] Spambot data updated http://www.marshal8e6.com/TRACE/traceitem.asp?article=615 [28] La suspensin de la reglamentacin de la Ley sobre Datos de Trfico en Materia de Telecomunicaciones http://www.habeasdata.org/comentario-suspension-ley-datos-de-trafico