Shadow Brokers un grupo de hackers que han robado exploits y herramientas de hacking de la Agencia Nacional de Seguridad (NSA), ahora están vendiendo algunas de estas herramientas, que incluyen la explotación de Windows y herramientas de bypass antivirus, en un sitio web oculta en la red ZeroNet
Según un mensaje publicado por los corredores de la sombra en su página web, la colección completa de "Windows Invasión" está disponible para 750 Bitcoin ($ 675.000).
El contenido de estos archivos es desconocida, pero los nombres de los archivos proporcionan algunas ideas sobre lo que estas hazañas podrían ser utilizados.
El paquete FuzzBunch parece contener las herramientas más costosas y perjudiciales, con un sin confirmar de día cero explotar con el protocolo SMB (Server Message Block) de protocolo, y la ejecución remota de código (RCE) explota para los servidores IIS, el PDR, RPC, y los protocolos SMB.
El paquete de día cero y los paquetes tienen un precio cada RCE a 250 Bitcoin ($ 225.000), y todo el paquete FuzzBunch se vende por 650 Bitcoin ($ 585.000).
El investigador de seguridad Jacob Williams ha descargado y analizado una serie de imágenes proporcionadas por el grupo Shadow Brokers. Estas capturas de pantalla muestran supuestamente la salida de varias herramientas que ahora están siendo vendidos como parte de la colección de Windows Invasión.
Sobre la base de la salida de esas herramientas, Williams dice que, en teoría, algunas de estas herramientas debería proporcionar la capacidad de puentear/explotar algún tipo de software antivirus, como Avast, Avira, Comodo, Dr.Web, ESET, Kasperksy, McAfee, Microsoft, Panda, Rising Antivirus, Symantec y Trend Micro.
WindowsWarez_All_Find.txt:./Resources/Ops/Data/pspFPs/avast-actions.xmlWindowsWarez_All_Find.txt:./Resources/Ops/Data/pspFPs/avast-fp.xmlWindowsWarez_All_Find.txt:./Resources/Ops/Data/pspFPs/avira-fp.xmlWindowsWarez_All_Find.txt:./Resources/Ops/Data/pspFPs/comodo-fp.xmlWindowsWarez_All_Find.txt:./Resources/Ops/Data/pspFPs/drweb-fp.xmlWindowsWarez_All_Find.txt:./Resources/Ops/Data/pspFPs/kaspersky-actions.xmlWindowsWarez_All_Find.txt:./Resources/Ops/Data/pspFPs/kaspersky-fp.xmlWindowsWarez_All_Find.txt:./Resources/Ops/Data/pspFPs/mcafee-actions.xmlWindowsWarez_All_Find.txt:./Resources/Ops/Data/pspFPs/mcafee-fp.xmlWindowsWarez_All_Find.txt:./Resources/Ops/Data/pspFPs/microsoft-fp.xmlWindowsWarez_All_Find.txt:./Resources/Ops/Data/pspFPs/nod32-fp.xmlWindowsWarez_All_Find.txt:./Resources/Ops/Data/pspFPs/panda-fp.xmlWindowsWarez_All_Find.txt:./Resources/Ops/Data/pspFPs/rising-actions.xmlWindowsWarez_All_Find.txt:./Resources/Ops/Data/pspFPs/rising-fp.xmlWindowsWarez_All_Find.txt:./Resources/Ops/Data/pspFPs/symantec-fp.xmlWindowsWarez_All_Find.txt:./Resources/Ops/Data/pspFPs/trendmicro-fp.xml
WindowsWarez_All_Find.txt:./Resources/Ops/PyScripts/lib/ops/pspWindowsWarez_All_Find.txt:./Resources/Ops/PyScripts/lib/ops/psp/actions.pyWindowsWarez_All_Find.txt:./Resources/Ops/PyScripts/lib/ops/psp/genericPSP.pyWindowsWarez_All_Find.txt:./Resources/Ops/PyScripts/lib/ops/psp/genericSafetyHandlers.pyWindowsWarez_All_Find.txt:./Resources/Ops/PyScripts/lib/ops/psp/__init__.pyWindowsWarez_All_Find.txt:./Resources/Ops/PyScripts/lib/ops/psp/kasperskyES8.pyWindowsWarez_All_Find.txt:./Resources/Ops/PyScripts/lib/ops/psp/mcafee85To88.pyWindowsWarez_All_Find.txt:./Resources/Ops/PyScripts/lib/ops/psp/mcafee-epo.pyWindowsWarez_All_Find.txt:./Resources/Ops/PyScripts/lib/ops/psp/mcafeeISTP.pyWindowsWarez_All_Find.txt:./Resources/Ops/PyScripts/lib/ops/psp/mcafeeLib.pyWindowsWarez_All_Find.txt:./Resources/Ops/PyScripts/lib/ops/psp/mcafee.pyWindowsWarez_All_Find.txt:./Resources/Ops/PyScripts/lib/ops/psp/mcafeeSafetyChecks.pyWindowsWarez_All_Find.txt:./Resources/Ops/PyScripts/windows/checkpsp.pyWindowsWarez_All_Find.txt:./Resources/Ops/PyScripts/windows/pspWindowsWarez_All_Find.txt:./Resources/Ops/PyScripts/windows/psp/kaspersky.pyWindowsWarez_All_Find.txt:./Resources/Ops/PyScripts/windows/psp/shared.pyWindowsWarez_All_Find.txt:./Resources/Ops/PyScripts/windows/psp/ver_eleven.pyWindowsWarez_All_Find.txt:./Resources/Ops/PyScripts/windows/psp/ver_nine.pyWindowsWarez_All_Find.txt:./Resources/Ops/PyScripts/windows/psp/ver_six.py
Shadow Brokers hizo sentir su presencia en agosto del 2016 cuando lanzaron un tesoro de exploits que afirmó haber robado del Grupo equatión, un nombre en clave dado por las empresas de seguridad a la piratería de sus operaciones extranjeras NSA.
Junto con la liberación de varios regalos de promoción, los Shadow Brokers también puso en marcha una subasta de Bitcoin intentar vender el resto de la explotación (en un solo paquete) al mejor postor.
Las hazañas liberados como una descarga gratuita se han confirmado casi de inmediato para operar contra los servidores de seguridad realizadas por Cisco, Fortinet, Juniper, y TOPSEC.
Con poco o ningún interés público para su venta al público, los Shadow Brokers cancelaron su subasta en octubre y puso en marcha una página web ZeroNet oculto en diciembre, a través del cual empezaron a vender las herramientas NSA robados en paquetes más pequeños.
Todas las herramientas de hacking publicadas anteriormente trabajaban sólo en contra de los sistemas operativos basados en UNIX. Esta es la primera vez que los corredores de la sombra han dado a conocer las herramientas de Windows.
El grupo lanzó sus exploits de Windows después de que los EE.UU. había emitido sanciones contra 35 individuos rusos que percibía como estar detrás de los intentos de Rusia para influir en la elección presidencial de Estados Unidos a través de una serie de cortes.
Existen teorías de que los agentes cibernético de inteligencia rusos están detrás de los Shadow Brokers, pero también hay teorías de que la CIA o un insider había filtrado las herramientas de hacking NSA a propósito.
