Genérico 5min de Leitura - 25 de enero de 2021

Malwares de atención inmediata

Botão de teclado de computador com o desenho de um inseto.

This post is also available in: Português Español

Fueron creados para instalar Ransomwares, pero, algunos de estos malwares son tan letales que deben ser eliminados inmediatamente, lo que exige un escaneo completo dentro de las redes corporativas.

El tono alarmista de la frase anterior no es una exageración. Después de todo, algunos ciberdelincuentes han llegado al nivel extremadamente devastador, al punto de exigir tanta atención que es necesario detener todo y centrarse en cómo eliminarlos.

La razón es que los operadores de ransomware han avanzado muchísimo. Han pasado de ser unas bandas amateurs de criminales malware a ser complejos cárteles de ciberdelincuencia con habilidades, herramientas y presupuestos de lujo.

Y es que, tienen asociaciones a varios niveles con otras operaciones de ciberdelincuencia. Llamados intermediarios de acceso inicial, estos grupos operan como una cadena de suministro para el submundo del crimen digital, proporcionando a las bandas criminales de ransomware acceso a grandes colecciones de sistemas comprometidos. Estos sistemas permiten a estas bandas acceder fácilmente a las redes corporativas, encriptando archivos para exigir su rescate por diversos valores.

Estos intermediarios de acceso inicial son una parte crucial del escenario de la ciberdelincuencia. En la actualidad, tres tipos de intermediarios se destacan como fuentes de la mayoría de los ataques de ransomware:

1) Los vendedores de puntos finales RDP comprometidos

Son los grupos delincuentes que realizan ataques de fuerza bruta contra estaciones de trabajo o servidores configurados para el acceso remoto RDP, que también se dejaron expuestos en Internet con credenciales débiles. Luego, estos sistemas se venden en las llamadas «tiendas RDP», donde los equipos de ransomware suelen seleccionar sistemas que creen que se encuentran dentro de la red de su objetivo.

2) Los vendedores de dispositivos de red crackeadas

Son los ciberdelincuentes que también están utilizando exploits de vulnerabilidades conocidas para tomar el control de los equipos de red de una empresa, como servidores VPN, firewalls u otros. El acceso a estos dispositivos y a las redes internas se vende en foros clandestinos o directamente a bandas criminales de ransomware.

3) Los vendedores de acceso a ordenadores ya infectados con malware

Muchas redes de bots de malware suelen buscar sistemas en redes corporativas para hackearlos. Luego venden el acceso a otras operaciones de ciberdelincuencia, incluidas las bandas criminales de ransomware.

Lucha constante

Usualmente, la forma más práctica de evitar el ransomware es implementar métodos de protección contra estos tres tipos de vectores de acceso inicial. En otras palabras, más vale prevenir que lamentar. Sin embargo, aunque los «escudos» contra los primeros 2 suelen consistir en buenas políticas de contraseñas y en mantener los equipos actualizados, el tercer vector es más difícil de proteger.

El Motivo: Los operadores de redes de bots de malware se centran a menudo en la ingeniería social para engañar a los usuarios y hacer que instalen malware en sus sistemas sin saberlo, incluso si los ordenadores funcionan con software actualizado.

Por eso, algunos de estos nombres se han distinguido recientemente en el mundo de la ciberdelincuencia, y se enumeran a continuación. Si se detecta alguno de ellos, los administradores deben dejar de hacer lo que están haciendo, desconectar los sistemas y eliminar el malware. Al fin y al cabo, son demasiado peligrosos para permanecer en un segundo plano.

EMOTET

Se le considera el botnet de malware más grande actualmente. Hay pocos casos en los que Emotet ha estado directamente involucrado con bandas criminales de ransomware, sin embargo, después de que muchos ataques fueran rastreados, se descubrió que eran infecciones de Emotet. Usualmente, Emotet vendía el acceso a los sistemas infectados a otras bandas de malware, que posteriormente vendían su propio acceso a las bandas de ransomware. Hoy en día, su cadena de infección de ransomware más común envuelve a Trickbot y Ryuk.

TRICKBOT

Es bastante parecido a Emotet. Infecta a sus propias víctimas, pero también es conocido por comprar el acceso a sistemas infectados previamente por Emotet para aumentar su potencial.
Durante los dos últimos años, los investigadores de seguridad han visto cómo Trickbot vende el acceso de sus sistemas a bandas de ciberdelincuentes, que posteriormente desplegaron el ransomware Ryuk y el Conti.

BAZARLOADER

Actualmente se considera un backdoor modular desarrollado con enlaces de la banda principal de Trickbot. Independientemente de cómo haya surgido, este grupo está siguiendo el modelo de Trickbot, y ya se ha asociado con equipos de ransomware para proporcionar acceso a los sistemas infectados por ellos. Así, el BazarLoader ha sido considerado como el punto de origen de las infecciones del ransomware Ryuk.

QAKBOT

Conocido por diversos nombres (como QakBot, Pinkslipbot, Qbot o Quakbot), a veces se le denomina dentro, de la comunidad de infoseguridad, como el Emotet lento. La razón es que suele hacer lo mismo que Emotet, pero con meses de diferencia (lo que no disminuye su potencial de causar daños).

Ya que la banda criminal Emotet estaba permitiendo que sus sistemas sean utilizados para desplegar ransomware, QakBot también creó asociaciones con diferentes grupos de ransomware. Primero con MegaCortex, luego con ProLock y actualmente con el grupo Egregor.

SDDBOT

Operado por un grupo de ciberdelincuentes conocido como TA505, está lejos de ser una cepa común de malware. Por lo tanto, no debe subestimarse. Después de todo, ya se ha visto como punto de origen de incidentes en los que se ha desplegado el ransomware Clop, causando daño considerable a los infectados.

DRIDEX

Se trata de otra banda de troyanos bancarios que se ha reinventado y ha empezado a actuar como un “descargador de malware”, siguiendo lo que hicieron Emotet y Trickbot hace años.

Aunque en el pasado el botnet Dridex ha utilizado campañas de spam para distribuir el ransomware Locky a usuarios aleatorios, en los últimos años también han utilizado los ordenadores infectados por ellos para lanzar las cepas de ransomware BitPaymer o DoppelPaymer, lo que ha dado lugar a ataques más específicos contra objetivos de alto valor. En resumen, han decidido ser snipers centrados en acertar el tiro.

ZLOADER

En una rápida y constante expansión, Zloader ya ha establecido asociaciones con los operadores de variedades de ransomware Egregor y Ryuk. Es considerado por los expertos como uno de los nombres con mayor capacidad de crecimiento, teniendo todo para entrar en el podio de los más peligrosos.

BUER LOADER

Se trata de una operación de malware que se puso en marcha el año pasado y que se ha labrado una respetable reputación en el submundo de la ciberdelincuencia por asociarse con grupos de ransomware. En algunos incidentes en los que el ransomware Ryuk fue inicialmente el sospechoso, días después se descubrió que estaba relacionado con las infecciones de Buer.

PHOERPIEX

También llamado Trik, está entre los menores, pero no quiere decir que sea menos peligroso. Después de todo, los ataques con el ransomware Avaddon vistos a principios de este año estaban asociados a Phorpiex. Aunque todavía no tienen fama, la mayoría de los expertos creen que deben ser tratados con el mismo nivel de atención que Emotet, Trickbot, entre otros.

COBALT STRIKE

De hecho, es una herramienta de pruebas de penetración desarrollada para los investigadores de ciberseguridad, pero que también es utilizada por los equipos de malware.

Las empresas no están directamente infectadas con CobaltStrike. Sin embargo, muchas bandas de ransomware despliegan componentes de CobaltStrike como parte de sus intrusiones, siendo un precursor del ataque de ransomware real.

Por lo tanto, CobaltStrike ha sido incluido en esta lista, ya que puede ser tan peligroso como una cepa de malware real. Quien lo encuentre en su red, y no esté realizando una prueba de penetración, es una señal de peligro. La misma regla se aplica a los demás: deje de hacer lo que está haciendo, desconecte los sistemas y no descanse hasta eliminarlos por completo.

This post is also available in: Português Español