Ha sido un verano de atracos de ransomware, ataques a la cadena de suministro y ataques sin archivos que pasan desapercibidos para la seguridad de la vieja escuela. Con el malware enloquecido mientras estábamos tirados en la playa, aquí hay un resumen de las cepas y tendencias más candentes que se observaron durante los meses de julio y agosto de 2019.
Resumen
Tendencias de evolución de malware
El calor debe haber tenido un efecto, ya que este verano el malware siguió evolucionando, particularmente en torno a tres tendencias principales:
Evasión por diseño
El malware se ha diseñado cada vez más para eludir los controles de seguridad aprovechando una serie de tácticas, sobre todo por:
- Cambio de hashes a través de la ofuscación de archivos para evadir AV.
- Uso de comunicación encriptada con servidores C2 para frustrar EDR.
- Utilizar la manipulación y manipulación de funciones para engañar a la IA, los motores de aprendizaje automático y los entornos limitados a través de la detección de dichos entornos y el retraso deliberado en la ejecución.
Ataques sin archivos y Living-Off-The-Land (LOTL)
Llevando las técnicas de evasión un paso más allá, un número cada vez mayor de cepas aprovechan los comandos de PowerShell y se hacen pasar por herramientas legítimas del sistema, todo mientras se ejecutan completamente desde la memoria (RAM) para pasar desapercibidos por las soluciones tradicionales basadas en IoC y requieren un análisis basado en el comportamiento para detectar.
(Jack-in-the-box)2 o Jack-in-the-box, Cuadrado
No, gracias a las empresas clandestinas de redes de bots como servicio, los piratas informáticos alquilan redes de bots completas de sistemas comprometidos, a través de los cuales pueden aprovechar el acceso listo para usar a los sistemas en vivo y bien para liberar simultáneamente múltiples cepas de malware a su disposición. Por ejemplo, Emotet sirve a IcedID (Bokbot) seguido de Trickbot o el ransomware Ryuk.
Amenazas inmediatas más letales
¿Cuáles fueron las cepas de malware más exóticas y letales de este verano? Aquí hay un resumen.
Astaroth Malware utiliza técnicas Living-Off-The-Land (LOTL)
Apuntando a organizaciones europeas y brasileñas, y planteando un amenaza inmediata al 76% de las organizaciones que probaron su resiliencia, según Cymulate Research Lab, el malware sin archivos Astaroth evade los controles de seguridad tradicionales basados en IoC y roba las credenciales de los usuarios, incluida la PII, el sistema y los datos financieros.
 |
| Crédito: Microsoft |
En ningún momento durante toda la cadena de destrucción del ataque, Astaroth coloca ningún archivo ejecutable en el disco, ni utiliza ningún archivo que no sea una herramienta del sistema, ejecutando su carga útil completamente en la memoria (RAM).
Sodinokibi Exploits y CVE para empujar ransomware a través de sitios web de MSP
El ransomware Sodinokibi («Sodi») es raro en el uso de una vulnerabilidad de Windows, a saber, CVE-2018-8453 parcheado por Microsoft el año pasado, que permite obtener acceso de nivel de administrador. Se sospecha que es el sucesor del ransomware como servicio GandCrab, Sodinokibi se difunde a través de los sitios web de los proveedores de servicios administrados (MSP), una forma de ataques a la cadena de suministro, donde los enlaces de descarga se reemplazan con el ejecutable del ransomware. Inicialmente se sospechó que se ofrecía como un servicio clandestino debido a su enfoque de «clave de cifrado maestra», pero se ha confirmado que, de hecho, es así.
– Damián (@Damián1338) 28 de agosto de 2019
La buena noticia es que ninguna de las organizaciones que simularon esta variante específica resultó ser vulnerable; sin embargo, la tasa de exposición de otras variantes de Sodi durante este verano osciló entre el 60 % y el 77 %, según la cepa probada.
GermanWiper ransomware agrega insulto a la lesión
Dirigido a países de habla alemana, GermanWiper realmente no encripta archivos. Más bien, sobrescribe todo el contenido de la víctima con ceros, destruyendo irreversiblemente sus datos. Por lo tanto, la nota de rescate es falsa, lo que hace que los pagos realizados sean inútiles y hace que las copias de seguridad fuera de línea sean cruciales para la recuperación.
Haciéndose pasar por una solicitud de empleo con un CV adjunto, el malware se propaga a través de campañas de spam por correo electrónico. 64% de las organizaciones la simulación de GermanWiper parecía ser vulnerable al probar los controles en su contra.
MegaCortex Ransomware extorsiona a empresas de EE. UU. y la UE
Suponiendo una amenaza para 70% de las organizaciones, basado en simulaciones de ataques realizadas, MegaCortex se dirige deliberadamente a empresas más grandes en un intento por extorsionar sumas de dinero más grandes, que van desde $ 2 millones a $ 6 millones en bitcoin. Los operadores de MegaCortex comprometen servidores críticos para las empresas y los encriptan junto con cualquier otro sistema conectado al host.
Este ransomware se ejecutó originalmente usando una carga cifrada con una contraseña que se ingresó manualmente durante una infección en vivo. En su versión más nueva, esta contraseña está codificada junto con otras funciones que se han automatizado, como las técnicas de evasión de seguridad. El malware también ha evolucionado para descifrar y ejecutar su carga útil desde la memoria.
Silence APT propaga malware dirigido a bancos en todo el mundo
El grupo de amenazas persistentes avanzadas (APT) de habla rusa es uno de los más sofisticados del mundo y ha actualizado recientemente sus TTP para cifrar cadenas críticas, incluidos los comandos emitidos a los bots para evadir la detección. Inicialmente, los piratas informáticos enviaban correos electrónicos de reconocimiento a las víctimas potenciales para identificar a los usuarios que hacían clic fácilmente, luego de la infección inicial, ahora propagan malware adicional a las víctimas a través de su cargador TrueBot reescrito o a través de un cargador sin archivos llamado Ivoke, ocultando las comunicaciones C2 a través de túneles DNS. Durante el año pasado, el grupo ha acumulado un estimado de $ 4 millones.
El 84% de las organizaciones son vulnerables a la tensión lanzada este verano, según datos de Cymulate.
Turla ataca al gobierno usando servidores secuestrados de Oilrig APT Group
Apuntando específicamente a gobiernos y organismos internacionales, se vio que Turla secuestraba infraestructura perteneciente al grupo Oilrig APT vinculado a Irán. Usando una combinación de malware personalizado, versiones modificadas de herramientas de piratería disponibles públicamente y software de administración legítimo, el grupo se ha estado moviendo hacia técnicas LOTL, y sus víctimas incluyen ministerios, gobiernos y organizaciones de tecnología de comunicaciones en diez países diferentes.
El 70% de las organizaciones se encontraron vulnerables a esta amenaza en el momento de la prueba de seguridad.
¿Desea evaluar la postura de seguridad de su organización ahora que terminó el verano? Explore cómo la simulación de brechas y ataques puede proporcionarle los conocimientos prácticos e inmediatos que necesita.
