Generalmente exploits de seguridad son descubiertos. Los sombreros blancos (los buenos) generalmente le dan la oportunidad a quien sea dueño del código / plataforma de arreglarlo. Blackhats (los tipos malos) los conservará para su uso posterior o los venderá al mejor postor. Los sombreros blancos a menudo dan 30 días más o menos, el período de gracia permite una respuesta. Revelar el exploit ayuda a las personas a aprender de él y proporciona un incentivo para que se arregle el código / plataforma.
Estos exploits a menudo vienen con un código de prueba de concepto muy simple que hace algo MUY simple para mostrar que el exploit funcionó. Esto podría ser tan simple como un “Yo estuve aquí” en un archivo de texto que requiere privilegios de administrador para escribir.
Los atacantes con un objetivo particular en mente buscarán un exploit (generalmente publicado o en venta en varios mercados) para usar. Luego lo personalizarán para sus necesidades. Esto puede incluir el robo de archivos, registros de bases de datos, contraseñas, propiedad intelectual, billeteras bitcoin y relacionados. También son comunes varias formas de chantaje, ransomware, denegaciones de servicio, etc. A menudo esto incluye agregar una segunda puerta trasera, por si acaso se resuelve el primer exploit. Esto también permite que el dispositivo comprometido participe en una botnet. Esta es la razón por la que es tan peligroso solucionar un problema después de un exploit, es muy difícil saber si resolvió el problema, o simplemente trató uno de muchos problemas. Los virus armados pueden incluso arreglar el exploit que usaron. Esto tiene dos ventajas, reduce la posibilidad de detección y evita que otros ataques se hagan cargo de la máquina comprometida para sus propósitos.
Los ataques cada vez más sofisticados son cada vez más comunes. Un virus a menudo busca varias familias de vulnerabilidades de seguridad y varias formas de propagarse. Incluyendo (pero no limitado a) red, archivos compartidos, usb, documentos compartidos, archivos PDF, flash, javascript, etc. Algunos ataques incluso se comportan de manera diferente dependiendo de la red en la que se encuentren, apuntando a infraestructura eléctrica, hospitales, fabricación, negocios en particular país, etc. En un caso particularmente notable, stuxnet apuntó centrífugas usadas para la producción de uranio para producir bombas nucleares.
A medida que los ataques de virus se vuelven más sofisticados, el atacante tiene que decidir sobre un compromiso entre propagación agresiva que aumenta el número de máquinas comprometidas, pero también aumenta las posibilidades de detección y / o contramedidas. Por otro lado, no ser lo suficientemente agresivo significa que no hay suficientes máquinas comprometidas.
Un virus armado puede incluir todo lo anterior y más para permitir que un solo atacante obtenga las recompensas de una gran cantidad de sistemas atacados. Pero tan pronto como una gran cantidad de clientes se vean comprometidos, las cosas se volverán más difíciles a medida que las compañías antivirus lo reconozcan, la infraestructura de red puede ser un cambio para romper su comando y control, y las vulnerabilidades que utilizó pueden ser reparadas. Entonces, es un juego de gato y ratón en evolución.
