Santo Domingo,30 de mayo de 2023. ESET, compañía líder en detección proactiva de amenazas, dice que AceCryptor, un malware que existe desde 2016, durante 2021 y 2022, registró más de 240.000 detecciones, lo que equivale a más de 10.000 detecciones cada mes. Varios países de América Latina registraron actividad de AceCryptor, con Perú, Brasil y México encabezando las detecciones de la región.
“Para los autores de malware, proteger sus creaciones contra la detección es una tarea desafiante. Los cifradores son la primera capa de defensa que utilizan los programas maliciosos. Aunque los cibercriminales pueden crear y mantener sus propios cifradores personalizados, para los actores de amenazas enfocados en el “crimeware”; es decir, en el dinero, desarrollar y mantener un cifrador en el estado denominado FUD (totalmente indetectable) puede ser una tarea técnicamente difícil o que requiere mucho tiempo. La demanda de este tipo de protección ha dado lugar al desarrollo de un modelo de negocio conocido como cifrado como servicio (CaaS, por sus siglas en inglés) para empaquetar malware. Estos “cryptos” pueden incluir múltiples técnicas anti-máquinas virtuales, anti debugging y anti-análisis combinadas para lograr ocultar el componente malicioso o payload”, explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Desde las primeras apariciones conocidas de AceCryptor en 2016, muchos autores de malware utilizaron los servicios de este cifrador, incluso el popular malware Emotet cuando no usaba su propio cifrador. Durante 2021–2022, ESET detectó más de 80.000 muestras únicas de AceCryptor. Debido a la gran cantidad de familias de malware diferentes incluidas, se asume que AceCryptor es comercializado en algún lugar bajo el modelo de “cryptor-as-a-service” (CaaS).
Después de analizar programas maliciosos empaquetados por AceCryptor, ESET encontró más de 200 nombres de detección diferentes. Es importante aclarar que para una misma familia de malware pueden existir varios nombres de detección correspondientes a variantes individuales debido a actualizaciones o cambios en la ofuscación.
“El monitoreo de las actividades de los proveedores de CaaS como AceCryptor es útil para monitorear el malware que utiliza sus servicios. Ser capaz de detectar AceCryptor (y otros CaaS) ayuda con la visibilidad de nuevas amenazas emergentes, y también con el monitoreo de las actividades de los actores de amenazas”, agrega Gutiérrez Amaya de ESET.