COMET

Comprendiendo el rastro del ecosistema de malware desde los mercados clandestinos hasta la superficie
IMDEA Networks es beneficiario de este proyecto
  • Financiado por: Ministerio de Ciencia e Innovación TED2021-132900A-I00
  • Duración: Diciembre 2022 hasta Diciembre 2024
  • Contacto: Guillermo SUAREZ-TANGIL, Investigador principal de IMDEA Networks

Con el apoyo de una economía clandestina, los delitos cibernéticos se han disparado en los últimos años. Conocimiento y herramientas se intercambian en los mercados en línea. Un ejemplo es el malware de criptominería, que se ha infiltrado desde estas  comunidades clandestinas para producir ilícitamente más de $57M. Estos ingresos engranan otras actividades cibercriminales. El  bjetivo de este proyecto es comprender mejor los delitos cibernéticos habilitados por malware desde una perspectiva de desarrollo de  software. El propósito es triple: a) perfilar a los desarrolladores de malware, b) comprender su modelo de negocio y c) medir el  soporte ofrecido por los mercados y foros en línea. Un aspecto central del proyecto será el desarrollo de tecnología para la caracterización de malware. Esto es, atribuir malware a una determinada campaña, vendedor o autor. Esto se usará para medir el rastro que dejan los desarrolladores de malware y los grupos de piratería cuando intercambian software a través de mercados anónimos. La caracterización de malware es una tarea difícil porque trata con adversarios activos en un contexto donde la reutilización parcial de código es común. Dos comunidades separadas han abordado el problema de la caracterización del malware: la comunidad de análisis de malware estudia el malware que se encuentra en la jungla, mientras que la comunidad de delitos cibernéticos observa los mercados donde los actores comparten malware. Sin embargo, los mercados no son cámaras de eco y las herramientas producidas se filtran. Este proyecto tiene como objetivo cerrar la brecha entre estos dos enfoques dispares, medir los puntos en común y luego ofrecer un nuevo enfoque para comprender este ecosistema a través de la caracterización de malware que es más fuerte que la suma de sus partes. Como novedad clave, analizaremos el intercambio de código fuente de malware junto con archivos binarios encontrados online.

COMET creará un observatorio de malware. El objetivo es cerrar la brecha entre la comunidad de análisis de malware y la comunidad de delitos cibernéticos a través de los siguientes objetivos clave de investigación:
O1. Desarrollar herramientas automáticas que permitan el estudio sistemático de dependencias de software y el impacto de la reutilización de código en malware. Esto nos permitirá estudiar la procedencia de los artefactos de software y rastrear los artefactos reutilizados.
O2. Diseñar algoritmos de Machine Learning (ML) para agrupar campañas de malware perpetradas por los mismos actores. Esto abordará el problema de identificar a los actores relevantes.
O3. Medir la prevalencia del comercio de software tanto en los mercados clandestinos como en los foros de superficie. Esta medición  es la clave para implementar estrategias de disrupción efectivas.
O4. Estudiar el ecosistema detrás del desarrollo de software malicioso y no deseado, con especial énfasis en las herramientas y los exploits de vanguardia que podrían aprovecharse en la guerra cibernética.

COMET tiene los siguientes sub-objetivos: 1) estudiar el ecosistema de malware desde una perspectiva software analizando tanto el código fuente como el análisis binario; 2) para modelar cómo los artefactos de software malicioso se fabrican y comercializan en mercados clandestinos; 3) todo esto en conjunto se utilizará luego: a) para comprender los factores que impulsan el crecimiento económico de este negocio ilícito, b) para perfilar los diferentes actores del proceso de desarrollo y distribución, y c) medir su impacto.

Proyecto financiado por el Ministerio de Ciencia, Innovación y Universidades (MICIU/AEI )/10.13039/501100011033 y por la Unión Europea, NextGenerationEU/ PRTR