Säkerhetsforskare hos Check Point har utvecklat en teknik för att identifiera olika utvecklare av skadlig kod. Genom att kunna identifiera en utvecklares unika ”handstil” eller ”fingeravtryck” i den skadliga koden kommer säkerhetsforskarna nu att kunna upptäcka nya förekomster av skadlig kod utvecklade av samma utvecklare, vilket leder till större möjligheter att stoppa dem direkt.
Tekniken kan också leda till att hela familjer av skadlig kod kan stoppas, om ursprungskoden köpts av en utvecklare med en känd ”handstilen”.
Teckna din prenumeration på Aktuell Säkerhet här
– Förutom att vårt arbete med att identifiera olika utvecklare av skadlig kod ger större möjlighet att snabbare stoppa attacker, ger det en helt ny inblick i hur den svarta marknaden för skadlig kod ser ut, säger Mats Ekdahl, säkerhetsexpert hos Check Point.
Tidigare har IT-säkerhetsansvariga bara kunnat identifiera ”fingeravtryck” på hela familjer av skadlig kod. Det leder ofta ingen vart, då viktiga delar i den skadliga koden utvecklats av andra aktörer.
I Check Points analysarbete utgick forskarna från en av de mest aktiva och flitiga utvecklarna av skadlig kod för Windows-kärnan, kallad ”Volodya”, tidigare känd som ”BuggiCorp”. Volodya säljer flera olika typer av skadlig kod och verkar ha varit aktiv sedan 2015. Forskarna har kunnat spåra Volodyas verk i flera omfattande attacker, som även har utnyttjats av statliga aktörer.