Me parece que se me había pasado comentaros pero…
Los exploit kits son la causa de un gran porcentaje de las infecciones de malware que ocurren hoy en día. Dependiendo del lado en el que te encuentres, consideras que los exploit kits son un regalo divino o una maldición infernal.
Los exploit kits son grupos de herramientas que permiten explotar vulnerabilidades de forma automática en el lado del cliente. Por regla general tienen como objetivo los navegadores web o software que puede ser llamado desde los mismos (siendo Flash, Java y Silverlight los más comunes). El exploit kit NO dispone de un payload malicioso in situ, sino que este debe ser subido por el propio «cliente». Por tanto, es muy común que un mismo exploit kit esté distribuyendo ransomware en un caso y spyware en otro. Principalmente los exploit kits consiguen llegar a las victimas a través de campañas de spam o mediante anuncios maliciosos, tambien conocido como malvertisement.
La clave del éxito de los exploit kits viene dada por el hecho de que resulta muy sencillo usarlos y que una persona con conocimientos técnicos relativamente bajos puede realizar grandes ataques. En algunos casos incluso ofrecen soporte técnico por si el «cliente» tiene alguna duda respecto a algo. También incluyen paneles de control muy intuitivos con gran cantidad de datos sobre las infecciones que se están llevando a cabo. No solo indican el numero de ellas, sino que también muestran el origen de las victimas o incluso una lista de las vulnerabilidades más efectivas.
Estas herramientas llevan en el mercado desde 2006, cuando WebAttacker y Mpack revolucionaron el panorama del malware. Los próximos años aparecieron muchos más, siendo Blackhole en 2010 uno de los más importantes. Hace unos días ocurrio un punto de inflexión en el ambito de los exploit kits, ya que desaparecieron inexplicablemente dos de los exploit kits más usados en la actualidad (Angler y Nuclear) creando un gran revuelo en la comunidad. No es la primera vez que algo así ocurre, ya que la detención de Paunch (creador de Blackhole) a finales de 2013 fue un toque de atención para muchos. Una de las primeras reacciones de los creadores de otros exploit kits del mercado ha sido subir sus precios para capitalizar la desaparición de los que hasta ahora eran sus más feroces competidores. Parece que el trono no aguardará mucho sin nuevo rey, la lucha a comenzado entre Neutrino y RIG.
Los exploit kits se suelen vender en foros de las deep web, y sus precios suelen comenzar en 500 dólares aproximadamente, pero varían mucho dependiendo del numero de exploits que tengan y cuales sean estos. Por ejemplo un numero elevado de exploits de vulnerabilidades zero-day puede disparar su coste. Lo más común suele ser disponer de exploits de vulnerabilidades ya parcheadas, pero como ya sabemos, no todo el mundo tiene las últimas versiones de todo el software que utiliza. La forma de pago puede ser tanto semanal como mensual, a conveniencia del ofertante. En algunos casos, incluso se ha llegado a hablar de “pay-per-install”, lo que significa que se paga solo según el numero de infecciones de malware exitosas.
Es importante remarcar que el negocio de los exploit kits es muy rentable a día de hoy, ya que se estimada que sus creadores tienen unas gananacias de cerca de los 100.000 dólares mensuales y sus exploit kits generan beneficios a sus compradores de más de 60 millones de dólares anuales.
No existe un remedio mágico que impida este tipo de infecciones maliciosas, pero disponer de una solución anti-exploits puede ser de gran ayuda. Los denominados next-generation firewalls (NGFW) o next-generation intrusion prevention systems (NGIPS) también pueden aportar una protección extra. De todas formas, no por hacer uso de alguna de las opciones previamente mencionadas deberíamos olvidar la importancia de mantener el software actualizado/parcheado, y cómo no, de reducir el area de ataque teniendo instalado únicamente aquello que realmente usemos.
El que avisa no es traidor.