ESET, compañía líder en detección proactiva de amenazas, analiza
AceCryptor, un malware que existe desde 2016 y que se ha utilizado para empaquetar decenas de
familias de malware. Durante 2021 y 2022, la telemetría de ESET registró más de 240.000 detecciones
para este malware, lo que equivale a más de 10.000 detecciones cada mes. Varios países de América
Latina registraron actividad de AceCryptor, con Perú, Brasil y México encabezando las detecciones de la
región.
“Para los autores de malware, proteger sus creaciones contra la detección es una tarea desafiante. Los
cifradores son la primera capa de defensa que utilizan los programas maliciosos. Aunque los
cibercriminales pueden crear y mantener sus propios cifradores personalizados, para los actores de
amenazas enfocados en el “crimeware”; es decir, en el dinero, desarrollar y mantener un cifrador en el
estado denominado FUD (totalmente indetectable) puede ser una tarea técnicamente difícil o que
requiere mucho tiempo. La demanda de este tipo de protección ha dado lugar al desarrollo de un
modelo de negocio conocido como cifrado como servicio (CaaS, por sus siglas en inglés) para
empaquetar malware. Estos “cryptos” pueden incluir múltiples técnicas anti-máquinas virtuales, anti
debugging y anti-análisis combinadas para lograr ocultar el componente malicioso o payload”, explica
Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Puntos clave de este análisis:
AceCryptor proporciona servicios de empaquetado a decenas de familias de malware muy conocidas.
Las muestras de AceCryptor son muy frecuentes en todo el mundo porque múltiples grupos cibercriminales lo
usan activamente para propagar su malware empaquetado en sus propias campañas.
AceCryptor está muy ofuscado y, a lo largo de los años, ha incorporado muchas técnicas para evitar la
detección.
Durante 2021 y 2022, ESET protegió a más de 80.000 clientes que se vieron afectados por malware
empaquetado por AceCryptor.
Desde las primeras apariciones conocidas de AceCryptor en 2016, muchos autores de malware utilizaron
los servicios de este cifrador, incluso el popular malware Emotet cuando no usaba su propio cifrador.
Durante 2021–2022, ESET detectó más de 80.000 muestras únicas de AceCryptor. Debido a la gran
cantidad de familias de malware diferentes incluidas, se asume que AceCryptor es comercializado en
algún lugar bajo el modelo de “cryptor-as-a-service” (CaaS).
Debido al alto volumen de muestras en los últimos años, la investigación se centró en muestras
detectadas durante 2021 y 2022. Las detecciones de AceCryptor se distribuyeron de manera bastante
uniforme a lo largo de estos dos años, algo lógico considerando que es un malware utilizado por una
gran cantidad de actores de amenazas que no sincronizan sus campañas.