NoticiasTecnología

AceCryptor: cómo funciona este cifrador que afecta a Latam

“Para los autores de malware, proteger sus creaciones contra la detección es una tarea desafiante. Los cifradores son la primera capa de defensa que utilizan los programas maliciosos. Aunque los cibercriminales pueden crear y mantener sus propios cifradores personalizados, para los actores de amenazas enfocados en el “crimeware”; es decir, en el dinero, desarrollar y mantener un cifrador en el estado denominado FUD (totalmente indetectable) puede ser una tarea técnicamente difícil o que requiere mucho tiempo. La demanda de este tipo de protección ha dado lugar al desarrollo de un modelo de negocio conocido como cifrado como servicio (CaaS, por sus siglas en inglés) para empaquetar malware. Estos “cryptos” pueden incluir múltiples técnicas anti-máquinas virtuales, anti debugging y anti-análisis combinadas para lograr ocultar el componente malicioso o “payload”.”, explica Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Puntos clave de este análisis:

  • AceCryptor proporciona servicios de empaquetado a decenas de familias de malware muy conocidas.
  • Las muestras de AceCryptor son muy frecuentes en todo el mundo porque múltiples grupos cibercriminales lo usan activamente para propagar su malware empaquetado en sus propias campañas.
  • AceCryptor está muy ofuscado y, a lo largo de los años, ha incorporado muchas técnicas para evitar la detección.
  • Durante 2021 y 2022, ESET protegió a más de 80.000 clientes que se vieron afectados por malware empaquetado por AceCryptor.

Desde las primeras apariciones conocidas de AceCryptor en 2016, muchos autores de malware utilizaron los servicios de este cifrador, incluso el popular malware Emotet cuando no usaba su propio cifrador. Durante 2021–2022, ESET detectó más de 80.000 muestras únicas de AceCryptor. Debido a la gran cantidad de familias de malware diferentes incluidas, se asume que AceCryptor es comercializado en algún lugar bajo el modelo de “cryptor-as-a-service” (CaaS).

Debido al alto volumen de muestras en los últimos años, la investigación se centró en muestras detectadas durante 2021 y 2022. Las detecciones de AceCryptor se distribuyeron de manera bastante uniforme a lo largo de estos dos años, algo lógico considerando que es un malware utilizado por una gran cantidad de actores de amenazas que no sincronizan sus campañas.

acecryptor

Figura 1. Detecciones de AceCryptor durante 2021 y 2022.

Después de analizar programas maliciosos empaquetados por AceCryptor, ESET encontró más de 200 nombres de detección diferentes. Es importante aclarar que para una misma familia de malware pueden existir varios nombres de detección correspondientes a variantes individuales debido a actualizaciones o cambios en la ofuscación.

“El monitoreo de las actividades de los proveedores de CaaS como AceCryptor es útil para monitorear el malware que utiliza sus servicios. Ser capaz de detectar AceCryptor (y otros CaaS) ayuda con la visibilidad de nuevas amenazas emergentes, y también con el monitoreo de las actividades de los actores de amenazas.”, agrega Gutiérrez Amaya de ESET.

Considerando la variedad de malware que utiliza AceCryptor y la diversidad de intereses de los diferentes autores de malware, su actividad se observa en todo el mundo. Durante 2021 y 2022, la telemetría de ESET registró más de 240.000 detección para este malware, lo que equivale a más de 10.000 detecciones cada mes.

Figura 2. Mapa de calor de los países en los que se registró más actividad de AceCryptor según la telemetría de ESET durante 2021 y 2022. Varios países de América Latina con Perú, Brasil y México encabezando las detecciones de la región.

Durante 2021 y 2022, los productos de ESET detectaron y bloquearon variantes de malware empaquetadas por AceCryptor en las computadoras de más de 80.000 clientes. También descubrieron más de 80.000 muestras únicas de AceCryptor. “La cantidad de hashes únicos existentes son una muestra del tiempo que los autores de AceCryptor dedican a mejorar los mecanismos de ofuscación y de detección.”, asegura el investigador.

Debido a que AceCryptor es utilizado por múltiples actores de amenazas, el malware empaquetado por este cifrador también se distribuye de múltiples maneras diferentes. Según ESET, los dispositivos que estuvieron expuestos al malware empaquetado con AceCryptor principalmente fue a través de instaladores de software pirata troyanizados o a través de o correos electrónicos no deseados que contenían archivos adjuntos maliciosos. Otra forma en que alguien puede estar expuesto al malware empaquetado con AceCryptor es a través de otro malware que haya comprometido un equipo y luego descargado otro malware protegido por AceCryptor.

Para conocer el análisis técnico de AceCryptor y comprender más sobre su arquitectura y las capas que la componen, sus características y las técnicas que implementa puede acceder la versión en inglés de este artículo.

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/episode/7369TdwSZRTmZRC7PikhXd

Daygo

Daygo

Lead Editor
Geek, Adicto a la tecnología y Editor en MastekHW.