Ser proactivo sobre estos malwares en específico puede obligar a los atacantes a pasar por alto su organización.
Las organizaciones nunca detendrán los ataques de ransomware buscando el ransomware.
Cuando se trata de ataques de ransomware, los actores de amenazas a menudo pasan tiempo en las redes de una organización durante semanas (si no meses) antes de que se lance el ransomware real. Si bien estos actores hacen todo lo posible para enmascarar sus huellas, hay pistas que pueden descubrir la posibilidad de un ataque de ransomware antes de que el ransomware real aparezca en el sistema de una organización. Sin embargo, para hacer esto, las organizaciones deben saber qué buscar antes de que sea demasiado tarde.
El siguiente es un desglose de lo que las organizaciones de malware deben tener en cuenta para frustrar un ataque de ransomware. Si bien la presencia de estos tipos particulares de malware no significa automáticamente que un ataque de ransomware sea inminente, el conocimiento de su utilidad ayudará a los equipos de seguridad a proteger de manera proactiva sus sistemas del impacto costoso y paralizante de un incidente de ransomware.
Troyanos
Una de las familias de malware más comunes en Internet, los troyanos a menudo son utilizados por actores maliciosos como una forma inicial de obtener acceso a la red de una organización. A menudo entregados en alguna forma de ataque de phishing, los troyanos brindan a los atacantes la capacidad de desviar datos de las redes, dejar una puerta de enlace para la entrega de más malware, o ambas cosas.
Durante la última década, los troyanos se usaron principalmente para desviar credenciales bancarias, ya que los atacantes se concentraron en obtener acceso a cuentas financieras. Con el aumento del ransomware, los actores de amenazas han perfeccionado los troyanos para descubrir las credenciales que pueden brindarles acceso sin restricciones a la red de una organización.
Un excelente ejemplo de cómo se utilizan los troyanos para configurar ataques de ransomware se puede ver en la conexión entre Emotet y Conti. Los investigadores de Intel 471 descubrieron recientemente que Conti usa Emotet para afianzarse en las redes de las organizaciones y luego permite a los operadores de ransomware elegir objetivos de un grupo de organizaciones infectadas. Conti ha hecho de Emotet una parte clave de su cadena de ataque, específicamente desde que se relanzó Emotet en noviembre de 2021.
Otros troyanos que se han utilizado en ataques de ransomware recientes incluyen QbotIcedID (también conocido como BokBot) y ZLoader. Los investigadores de Intel 471 han notado que el grupo Conti parece haber abandonado BazarLoader en favor de un nuevo malware llamado Bumblebee, que sigue a una investigación de Google que afirma que Bumblebee ha sido utilizado por un corredor de acceso vinculado a Conti. Los investigadores de Intel 471 han observado Cobalt Strike, Metasploit, Sliver (una puerta trasera de código abierto programada en Go) e IcedID como cargas útiles de Bumblebee.
Ladrones de información
Si bien los ladrones de información tienen una funcionalidad similar a los troyanos, puede haber ligeras diferencias entre los dos tipos de malware. Los troyanos suelen robar información que se ingresa en una máquina (es decir, un registrador de teclas), mientras que los ladrones de información están programados para robar credenciales y otra información que ya está almacenada en una máquina.
Los ladrones de información pueden recopilar todo tipo de información, incluidas las cookies del navegador, los datos de autocompletado, las billeteras de criptomonedas, los clientes del Protocolo de transferencia de archivos (FTP) y las aplicaciones de escritorio. Los actores de amenazas usan esta información para buscar credenciales de alto nivel que les permitan moverse libremente dentro de la red de una organización, encontrar más datos de alto valor que quieren robar y ubicaciones donde necesitan implementar ransomware para bloquear el sistema de una organización. .
Algunos equipos de ransomware han reformulado ladrones de información que se utilizaron para una variedad de delitos en el pasado, mientras que otros han creado otros nuevos específicamente para su propio uso. El malware conocido como "StealBit" se usa como un ladrón de información para apoyar a los afiliados del ransomware LockBit. En lugar de un ladrón convencional diseñado para recolectar datos de los navegadores, StealBit funciona como un capturador de archivos, supuestamente clonando carpetas de redes corporativas al blog de vergüenza de víctimas de LockBit en muy poco tiempo.
Otros ladrones de información que se han utilizado en ataques de ransomware son KPOT, Mars, Raccoon, Redline y Vidar.
Herramientas de prueba de penetración
Existe una gran cantidad de herramientas utilizadas por profesionales de seguridad legítimos que se han incorporado a la cadena de ataque de los operadores de ransomware. Si bien sus desarrolladores compran y licencian estas herramientas, este software a menudo se copia, se descifra o se aplica ingeniería inversa para servir a los propósitos nefastos de las pandillas de ransomware. Estas pandillas a menudo usan estos programas para moverse más a través de una red y desviar las credenciales administrativas que allanan el camino para los ataques de ransomware.
Cobalt Strike es una de estas herramientas populares que ha sido adoptada por bandas de ransomware. Estas pandillas y sus afiliados usan Cobalt Strike como una carga útil de segunda etapa para muchas campañas de malware en muchas familias de malware. Los investigadores de Intel 471 han observado que Cobalt Strike se entrega a través de Hanictor, SystemBC y Trickbot para facilitar aún más la recolección de credenciales, el movimiento lateral y la implementación de ransomware. Además, el grupo de ransomware Conti intentó comprar una licencia legítima para Cobalt Strike a través de una empresa ficticia creada para parecer una empresa de seguridad legítima.
Mimikatz, creado inicialmente por un investigador de seguridad para saber cómo los protocolos de autenticación de Microsoft eran vulnerables a los ataques, es una herramienta muy popular entre los ciberdelincuentes. Los investigadores de Intel 471 han observado que varias operaciones de ransomware como servicio, incluidas ALPHV, AvosLocker y SunCrypt, usan Mimikatz para recolectar credenciales de administradores de red privilegiados.
Metasploit es similar a Mimikatz en que es de código abierto, pero proporciona una amplia gama de complementos que permiten a los usuarios realizar una gran cantidad de tareas. Los módulos se pueden colocar en Metasploit que permiten tareas similares a las del malware mencionado anteriormente, incluido el registro de teclas, el robo de información y la capacidad de lanzar más malware. Los investigadores de Intel 471 observaron que Conti y LockBit 2.0 reclutaban desarrolladores que tenían experiencia en implementar o trabajar con Metasploit.
No es una panacea
Para ser claros: configurar una estrategia de seguridad que solo busque este tipo de malware no es sostenible. Aún es necesario reparar las vulnerabilidades, se seguirán enviando correos electrónicos de phishing y los empleados aún podrían ser objeto de estafas de ingeniería social. Sin embargo, ser proactivo con este malware específico puede obligar a los atacantes a abandonar su organización y encontrar un objetivo diferente. Ignorar el malware antes de un ataque de ransomware es una receta para el desastre.
12 de mayo de 2022: este blog se ha editado para incluir que Google ha establecido una conexión entre el cargador Bumblebee y el grupo de ciberdelincuentes Conti.
Fuente: https://intel471.com/blog/malware-before-ransomware-trojan-information-stealer-cobalt-strike
Comentarios