Hornetsecurity evalúa la puerta trasera de SolarWinds SUNBURST

Hornetsecurity evalúa la puerta trasera de SolarWinds SUNBURST

Resumen ejecutivo

  • FireEye descubrió un ataque global de tipo troyano a la cadena de suministro de la Plataforma Orión de SolarWinds, a causa de una puerta trasera que FireEye llamó SUNBURST.
  • Versiones afectadas: plataforma SolarWinds Orion, versiones 2019.4 HF 5, 2020.2 (sin ningún hotfix instalado), 2020.2 HF 1
  • Versión corregida: Plataforma SolarWinds Orion versión 2020.2.1 HF 2
  • Aunque las versiones troyanas de la Plataforma Orión de SolarWinds se han difundido ampliamente entre organizaciones públicas y privadas de todo el mundo, la información actual indica que la puerta trasera de SUNBURST fue utilizada para el espionaje por un estado nacional y sólo se usó para infiltrarse en un grupo selecto de víctimas. Otros daños colaterales ocurrieron al  instalar las versiones troyanas de la Plataforma Orión de SolarWinds .
  • Para saber si estás afectado (más allá de comprobar las versiones instaladas de la Plataforma Orion de SolarWinds) comprueba los registros DNS consultando avsvmcloud[.]com o.digitalcollege[.]org (¡Incluyendo subdominios!).
  • Hornetsecurity no se ve afectada y no utiliza productos de SolarWinds.
  • Debido a que se trata de un incidente global en curso, comprueba los enlaces a los siguientes recursos para obtener información e imágenes actualizadas.

Resumen

El 13 de diciembre de 2020, FireEye reveló una puerta trasera en las actualizaciones de la Plataforma Orión de SolarWinds. Las organizaciones afectadas deben actualizar la versión corregida de manera inmediata.

La puerta trasera es parte de una operación de espionaje global y se utiliza para acceder a las redes del Gobierno y de empresas privadas de alto perfil.

Hornetsecurity evaluó su situación y no se ve afectada.

Antecedentes

La Plataforma Orion de SolarWinds es el líder del mercado de monitorización de redes, con más de 275.000 clientes en 190 países y proporcionando monitorización de redes a 400 de las empresas de la lista Fortune 500, el gobierno de EE.UU. y otras organizaciones de alto perfil.

El 13 de diciembre de 2020, FireEye reveló que durante el periodo comprendido entre el 01-03-2020 y 01-06-2020, las actualizaciones de la Plataforma Orión de SolarWinds fueron troyanizadas, por ello, lo llamaron la puerta trasera de SUNBURST.3 Previamente el 18-12-2020 FireEye  reveló una brecha de seguridad en su propia organizaciónn,2 para la que más tarde se identificó la actualización de la Plataforma Orión de SolarWinds como el vector de intrusión.

FireEye atribuye esta intrusión a un actor de amenaza aún desconocido que están rastreando como UNC2452. Aunque muchos medios de comunicación informan de esta intrusión atribuida al APT29, creemos que esto es incorrecto ya que el APT29 es un actor de amenaza designado por el propio FireEye pero aún así no lo han atribuido directamente al APT29.

El 14-12-2020  SolarWinds publicó un aviso de seguridad1 en relación a este asunto.

Análisis técnico

La puerta trasera deSolarWinds.Orion.Core.BusinessLayer.dll del software de la plataforma de SolarWinds Orion, espera después de la instalación una cantidad  entre 12 y 14 días – seleccionada al azar – antes de ejecutar su código malicioso.  Intenta establecer una comunicación C2 usando un algoritmo de generación de nombres de dominio (DGA) to <ENCODED VICTIM HOSTNAME>.appsync-api.{eu,us}-{west,east}-{1,2}.avsvmcloud[.]com. El código <ENCODED VICTIM HOSTNAME> de la parte del subdominio contiene el nombre del host codificado de las víctimas. Puede ser decodificado usando una herramienta proporcionada por RedDrip77

Los registros de subdominio correspondientes a los nombres de host de las víctimas a las que se dirigía la intrusión recibieron una respuesta DNS CNAME que los redirigió a uno de los dominios C2. Las víctimas que no eran el objetivo no recibieron un CNAME.6Aunque se trata de un ataque a gran escala a la cadena de suministro, la información actual indica que el propósito de la intrusión es el espionaje llevado a cabo por un estado nacional. Esto significa que mientras (según los archivos de la SEC de SolarWinds 8) alrededor de 18.000 víctimas instalaron las actualizaciones comprometidas, sólo una fracción muy pequeña fue realmente el objetivo de este ataque, el resto son daños colaterales.

En las organizaciones seleccionadas, la puerta trasera se utiliza como puente en la red de la organización, mediante la instalación de la TEARDROP y BEACON (del marco de Cobalt Strike) malware para infiltrarse aún más en la red.

Conclusión y medidas

A diferencia del ataque a la cadena de suministro contra el paquete de contabilidad fiscal ucraniano M.E.Doc, que dio lugar al incidente global de NotPetya en 2017, el objetivo de esta intrusión era el espionaje. Por lo tanto, sólo redes de objetivos seleccionados fueron instruidas a través de la puerta trasera de SUNBURST, del software comprometido de la Plataforma Orion de SolarWinds.

Las organizaciones que hayan instalado una versión de la Plataforma Orión de SolarWinds afectada deben tratar a todos los anfitriones monitoreados por la Plataforma Orión de SolarWinds como comprometidos, identificar todas las cuentas e infraestructuras controladas por los actores de la amenaza dentro de la organización y eliminarlas, y sólo entonces reconstruir la instalación de la Plataforma Orión de SolarWinds. Las organizaciones con requisitos de protección elevados pueden seguir la guía de la Directiva de Emergencia 21-01 del DHS4 (obviamente sin informar al CISA, a menos que la organización sea parte del gobierno de los EE.UU).

Un buen punto de partida para identificar la actividad de los actores de la amenaza es buscar los IoCs proporcionados por FireEye3,5 en los registros DNS. En caso de que los DNS consulten a uno de los <ENCODED VICTIM HOSTNAME>.appsync-api.{eu,us}-{west,east}-{1,2}.avsvmcloud[.]com subdominios encontrados, puedes usar SunBurst DGA Decoder provided by RedDrip77 para averiguar qué nombre de host, ejecutó tu red por puerta trasera SUNBURST. En caso de que encuentres respuestas CNAME a estas consultas DNS, esto significaría que además de ejecutar el código de puerta trasera, los actores de la amenaza están/estaban interesados en el host y elevaron la conexión a una conexión C2 completa. En este último caso, recomendamos contactar inmediatamente con un proveedor de respuesta a incidentes competente.

Aplaudimos a nuestros colegas de FireEye por sus minuciosas investigaciones.

Referencias

Indicadores de compromiso (IoCs)

Para una lista completa de IoCs y firmas de detección, por favor vea las contramedidas publicadas por FireEye: https://github.com/fireeye/sunburst_countermeasures

DNS

  • .avsvmcloud[.]com
  • .appsync-api.eu-west-1[.]avsvmcloud[.]com
  • .appsync-api.us-west-2[.]avsvmcloud[.]com
  • .appsync-api.us-east-1[.]avsvmcloud[.]com
  • .appsync-api.us-east-2[.]avsvmcloud[.]com
  • .digitalcollege[.]org

¡Indicadores conocidos solamente a partir del 16-12-2020! Por favor, para obtener información actualizada comprueba los recursos vinculados.

Aumento de los ciberdelitos en la temporada prenavideña

Aumento de los ciberdelitos en la temporada prenavideña

El nuevo Infopaper da consejos sobre cómo proteger mejor tu negocio

El año está llegando a su fin, y los primeros compradores están pensando en qué regalar a sus seres queridos en Navidad. Las tiendas online y los comercios locales se están preparando para el negocio de alto volumen, prenavideño.

El último fin de semana de noviembre comienza oficialmente la temporada de “Black Friday” y el “Cyber Monday”. Muchas empresas ofrecerán estos días promociones especiales para sus clientes, con el fin de atraer a los cazadores de ofertas. Pero esta temporada no sólo es extremadamente lucrativa para las empresas, los ciberdelincuentes también buscan cobrar un bonus decente de Navidad. Una vez más, este año, los expertos del Security Lab de Hornetsecurity se preparan para un aumento significativo de los ciberataques a las empresas. Con el nuevo documento «Cibercriminales en la temporada prenavideña – 5 trucos para proteger mejor a tu empresa», los expertos en seguridad informática ofrecen consejos útiles para que las navidades no supongan un problema para las empresas.

Cuidado cazadores de gangas: los ciberdelincuentes quieren cobrar

Black Friday, Cyber Monday y la Navidad también son eventos que atraen la atención del público. Despiertan el interés con descuentos y promociones que atraen a los cazadores de gangas. No debe sorprender que los correos electrónicos de phishing en nombre de grandes marcas como Amazon sean particularmente comunes. El año pasado, el Security Lab de Hornetsecurity observó un aumento en los correos electrónicos de phishing en nombre de Amazon entre noviembre y diciembre:

Uso no autorizado de los dominios de Amazon para el envío de correo electrónico

Las empresas son particularmente vulnerables durante la temporada de Navidad

Cabe suponer que las empresas no sólo tendrán que prepararse para un aumento de los ciberataques de phishing por correo electrónico. Después de todo, el repertorio de los cibercriminales incluye muchos más métodos, como los ataques DDoS, en los que los piratas informáticos utilizan una avalancha de solicitudes de servidores para poner de rodillas los sistemas de los proveedores, con la consecuente pérdida de oportunidades de venta.

En el siguiente Infopaper, explicamos los ciberataques que las empresas deben esperar y por qué son cada vez más peligrosos.

Protégete ahora

  • La protección contra los sofisticados ataques de ransomware y phishing la proporciona nuestro servicio Advanced Threat Protection.
  • La protección contra el fallo de tu servidor de correo es proporcionada por nuestro Continuity Service.
Ataques híbridos con leakware y ransomware

Ataques híbridos con leakware y ransomware

Resumen

Desde diciembre de 2019, los operadores de ransomware vienen empleando ataques híbridos de ransomware y leakware con cada vez mayor frecuencia. Estos ataques combinan el clásico ataque de ransomware con un ataque de leakware. En los ataques de ransomware clásicos, los datos de la víctima se cifran, descifrándose únicamente una vez la víctima haya pagado un rescate a los autores. En los ataques de leakware, se roban los datos y se chantajea a la víctima con su publicación para que pague cierto importe. En un ataque híbrido de leakware y ransomware, los datos primero se roban, y después se cifran. A continuación, se exige a la víctima que pague un rescate para descifrarlos. Si la víctima se niega a pagar el rescate, los atacantes la amenazan con publicar los datos robados. En algunos casos, los atacantes establecen contacto con socios o clientes de la víctima, informándoles de la próxima publicación de los datos para aumentar la presión sobre la víctima.

En este artículo describimos cómo funcionan estos ataques híbridos de leakware y ransomware, en qué se diferencian de los ataques de ransomware clásicos, y cómo puede protegerse de ellos.

Detalles

Con el auge de las criptomonedas, el ransomware ha ganado popularidad entre los ciberdelincuentes. Aunque el ransomware ya existía antes de las criptomonedas, éstas han simplificado enormemente la logística del pago de rescates.

Según ID Ransomware, un servicio gratuito para la identificación de ransomware, existen 928 tipos de ransomware distintos1.

El ransomware suele distribuirse e implementarse mediante malware de otro tipo. Un vector de ataque frecuente es el correo electrónico. La cadena de infección típica durante un ataque de ransomware es la siguiente:

Cadena de infección de ataque de ransomware mediante correo electrónico

La motivación de los responsables del ransomware es económica. Su ransomware cifra los datos de la víctima. Los atacantes solo acceden a descifrar los datos si la víctima paga un rescate.

Los rescates exigidos pueden ir de unos centenares de euros por ordenadores individuales, a varios millares para pequeñas empresas o incluso millones para grandes corporaciones y/u organismos públicos. El rescate más elevado jamás pagado del que se tenga noticia fue de 4,5 millones de dólares, aportado por la agencia de viajes estadounidense CWT2.

El ransomware clásico

En un caso clásico de ransomware, las interacciones y el flujo de información siguen este esquema:

Esquema de interacciones en casos de ransomware

Nuevo híbrido de leakware y ransomware

Desde diciembre de 2019, los responsables de la operación de ransomware conocida como Maze comenzaron a combinar el ransomware con un ataque previo conocido como leakware.

En un ataque de leakware se sustraen datos a la víctima para, a continuación, amenazarla con publicarlos si ésta se resiste a pagar un rescate. Por tanto, el leakware es lo contrario del ransomware: en lugar de denegar a la víctima el acceso a sus datos, dicho acceso se concede a todo el mundo si la víctima no paga.

Este nuevo esquema híbrido combina leakware y ransomware. Con este propósito, antes de cifrar los datos de la víctima con ransomware, los responsables los sustraen para, a continuación, amenazar con su publicación si la víctima se niega a pagar el rescate.

Adicionalmente, algunos operadores de ransomware se ponen en contacto con los socios o clientes de la víctima, cuyos datos también suelen encontrarse entre los que se van a publicar. Los responsables del ransomware Clop son famosos por operar así. Esta técnica incrementa la presión sobre las víctimas para que paguen el rescate.

En el nuevo híbrido de leakware y ransomware, las interacciones y el flujo de información siguen este esquema:

Esquema de interacciones de ranshameware

El problema para las víctimas es que, incluso si pagan el rescate, no tienen más garantía de que los datos filtrados vayan a eliminarse que la palabra de unos delincuentes. Los datos sustraídos podrían venderse en el mercado negro, emplearse en futuros ataques e incluso para volver a extorsionar a la misma víctima en un momento posterior.

Ejemplo: el ransomware Clop

Con el ejemplo del ransomware Clop, a continuación describiremos el desarrollo de un ataque híbrido con leakware y ransomware.

El ransomware Clop está controlado por un operador conocido comúnmente como TA505. Hornetsecurity ya ha informado anteriormente sobre sus actividades3. El acceso inicial se obtiene mediante un correo malicioso. TA505 se dedica a la caza mayor, apuntando específicamente a grandes corporaciones con grandes ingresos. Si un destinatario abre el correo y sigue las instrucciones, que suelen implicar descargar un documento malicioso y permitirle que ejecute macros, se convierte en víctima. A continuación, el código de macro contenido en el documento descarga un troyano de administración remota (RAT, por sus siglas en inglés). Este RAT permite a los atacantes obtener acceso remoto al ordenador de la víctima. A continuación, el RAT se emplea para desplazarse lateralmente por la red de la empresa de la víctima y recopilar información adicional. Aparte de esto, suelen emplearse otras herramientas (como las del framework Cobalt Strike) para obtener derechos de administrador de dominio. A continuación se extraen datos valiosos. Por datos de víctimas publicados en el pasado, sabemos que estos datos suelen abarcar el contenido íntegro de los discos compartidos de la empresa infectada. En algún momento, el ransomware Clop se despliega por toda la empresa para cifrar e incapacitar el mayor número de sistemas posible, maximizando así el perjuicio a la empresa.

A continuación, los operadores del ransomware Clop envían a la víctima a un sitio web con la nota de secuestro alojado en un servicio oculto de Tor. La página web de la nota de secuestro incluye detalles acerca del rescate y de cómo pagarlo.

Página del descifrador de Clop

Dependiendo del tamaño de la empresa y de sus beneficios estimados, el rescate exigido puede ascender a millones de euros. Recordemos que TA505 se dedica a la caza mayor, es decir, que se centra solo en grandes corporaciones con elevados ingresos. La página web de la nota de secuestro también contiene un temporizador y una amenaza de doblar el precio si el rescate no se paga puntualmente.

Para demostrar a la víctima que los archivos pueden descifrarse, la página con la nota de secuestro también ofrece un «descifrado de prueba».

Descifrado de prueba de la página del descifrador de Clop

La página de la nota de secuestro también incluye un chat de servicio técnico. Estos chats suelen emplearse para negociar el rescate, los plazos o ampliaciones de los mismos.

Chat de asistencia de la página del descifrador de Clop

Si alguna víctima se niega a pagar o a negociar, los responsables del ransomware empiezan a enviar notificaciones por correo electrónico en masa a sus socios y/o clientes. He aquí un ejemplo de notificación enviada por los responsables del ransomware Clop:

Correo de notificación de Clop

El archivo adjunto list.txt contiene una lista de dominios de Windows y sus recursos compartidos correspondientes de los cuales han extraído datos los responsables del ransomware Clop. Los enlaces del correo de notificación apuntan a la subpágina del sitio de filtraciones de Clop en que se comparten los datos robados.

El sitio web de filtraciones de Clop se llama «CL0P^_- LEAKS». Actualmente cuenta con 13 víctimas. He aquí un ejemplo de vista de datos filtrados:

Sitio de filtraciones de Clop

Lista de sitios de filtraciones

Actualmente, hay 13 operaciones de software diferentes con sitios de filtraciones. La distribución de víctimas entre cada sitio de filtraciones se muestra en el siguiente gráfico:

Distribución de víctimas en sitios de filtraciones de ransomware

Maze

Con 220, el sitio de filtraciones del ransomware Maze es el que con mayor número de víctimas cuenta. Por lo visto, los responsables del ransomware Maze tienen tantas víctimas potenciales que han constituido el denominado «cartel de Maze», con el que ayudan a otras operaciones de ransomware a cambio de una parte de sus beneficios.

Sitio de filtraciones de Maze

Curiosamente, el sitio de filtraciones de Maze está alojado en la web convencional, y no a través de un servicio oculto.

REvil / Sodinokibi

El segundo ransomware más notable con un sitio de filtraciones es REvil. Su sitio, llamado «Happy Blog», contiene datos de 67 víctimas.

Sitio de filtraciones de REvil

Además, en junio de 2020, los responsables del ransomware REvil empezaron a «subastar» los datos sustraídos:

Subasta de REvil

Sin embargo, la página de la subasta no contiene información sobre cómo pujar. Posiblemente no se trate más que de un método con el que obtener relevancia mediática e intimidar a las empresas para que paguen a los atacantes.

DoppelPaymer

Con 59 víctimas, el sitio de filtraciones «Doppel leaks» del ransomware DoppelPaymer está tercero en el ranking.

Sitio de filtraciones de DoppelPaymer

El sitio también es accesible a través de un dominio de la web convencional.

Conti

El sitio de filtraciones del nuevo ransomware Conti, «Conti News», ya cuenta con los datos de 43 víctimas. En base a toda la información disponible, el ransomware Conti parece ser el sucesor del famoso ransomware Ryuk.

Sitio de filtraciones de Conti Sitio de filtraciones de Conti

El sitio también es accesible a través de un dominio de la web convencional.

Después de Maze, Conti es actualmente el ransomware que más rápido incrementa su número de víctimas, ganando en ocasiones hasta 10 nuevas víctimas al día. Aquí es importante recordar que en los sitios de filtraciones solo se publican los datos de víctimas que se nieguen a pagar el rescate.

NetWalker

Los datos de 37 víctimas del ransomware NetWalker se han publicado en su sitio de filtraciones, «NetWalker Blog».

Sitio de filtraciones de NetWalker

Mespinoza / Pysa

El ransomware Mespinoza, también conocido como Pysa, ha titulado su sitio de filtraciones «Pysa’s Partners». Contiene datos de 28 víctimas.

Sitio de filtraciones de Mespinoza

Nephilim

El sitio de filtraciones del ransomware Nephilim, titulado «Corporate Leaks», contiene los datos de 16 víctimas.

Sitio de filtraciones de Nephilim

RagnarLocker

El sitio de filtraciones del ransomware RagnarLocker se llama «RAGNAR LEAKS NEWS». Contiene datos de 14 víctimas.

Sitio de filtraciones de RagnarLocker

SunCrypt

El sitio de filtraciones del ransomware SunCrypt se llama simplemente «News». Sin embargo, ciertos investigadores han sido capaces de ponerse en contacto con los operadores del sitio y han confirmado que está asociado al ransomware SunCrypt. El sitio de filtraciones alberga los datos de 9 víctimas.

Sitio de filtraciones de SunCrypt

Sekhmet

El sitio de filtraciones del ransomware Sekhmet, titulado «Sekhmet Leaks», solo está disponible a través de una dirección de la web convencional. Actualmente contiene datos de 8 víctimas.

Página de filtraciones de Sekhmet

Avaddon

En la primera campaña de Avaddon observada por Hornetsecurity4 no se sustrajeron datos. La campaña distribuía Avaddon a través de la red de bots Phorpiex, y el cifrado de los datos de las víctimas estaba completamente automatizado. Por tanto, la campaña no estaba centrada en víctimas de alto valor para las cuales hubiese valido la pena hacer filtraciones. Sin embargo, desde entonces, Avaddon se ha empleado en diferentes campañas, y su sitio de filtraciones, titulada «Avaddon Info», cuenta actualmente con los datos de 4 víctimas.

Sitio de filtraciones de Avaddon

Darkside

Un sitio de filtraciones muy reciente es «Darkside», del ransomware Darkside. Contiene datos de 2 víctimas.

MedusaLocker / AKO

El ransomware MedusaLocker también tuvo un sitio de filtraciones que llegó a contener datos de 7 víctimas.

Sitio de filtraciones de MedusaLocker

Sin embargo, actualmente el sitio tan solo contiene un mensaje de «próximamente» y no publica contenidos de ninguna víctima. Parece que el sitio se encuentra actualmente en reformas.

Nemty

El ransomware Nemty también solía tener un sitio de filtraciones al que se podía acceder a través de un dominio de la web convencional. Sin embargo, el sitio ya no se encuentra disponible.

ProLock

Hornet ha analizado con anterioridad el ransomware ProLock, que también afirma haber «recopilado […] datos sensibles» y estar dispuesto «a compartirlos si [la víctima] se niega a pagar»5. Sin embargo, por ahora no ha aparecido ningún sitio de filtraciones de ProLock.

Conclusión y soluciones

Los nuevos ataques híbridos con leakware/ransomware hacen las infecciones con malware más peligrosas que nunca para las empresas. Mientras que unas buenas copias de seguridad ayudaban contra los ataques con ransomware clásicos, éstas no ofrecen ninguna protección frente a la revelación de datos privados y/o confidenciales al público. El anuncio general de la filtración de datos a socios y clientes causa perjuicios adicionales y pérdida de reputación a las víctimas, ya que sus socios y clientes, así como sus competidores, obtienen acceso ilimitado a documentos internos, tales como contratos, listas de precios, resultados de investigación y desarrollo, etc.

En general, la única protección posible ante estos ataques híbridos con leakware y ransomware es invertir en una seguridad informática eficaz. En lo que respecta al correo electrónico, Spam and Malware Protection y Advanced Threat Protection de Hornetsecurity protegen frente a ataques híbridos que emplean el correo electrónico como su vector de infección inicial del mismo modo que protegen frente a los ataques con ransomware clásicos: repeliéndolos desde el comienzo mismo de la cadena de ataque, antes de que los atacantes puedan obtener un primer acceso a sus sistemas.

Referencias

Emotet en archivos adjuntos cifrados – Una creciente ciberamenaza

Emotet en archivos adjuntos cifrados – Una creciente ciberamenaza

Los ciberdelincuentes, que están detrás del troyano bancario Emotet, usan diversos trucos para burlar los filtros antivirus y propagar el malware a aún más sistemas. Estos trucos van: desde el secuestro de hilo de correos, a los cambios en Webshells, hasta la actualización del cargador de Emotet, lo que llevó a un gran aumento de las descargas de malware. Ahora Emotet está enviando de nuevo archivos adjuntos cifrados a través de su malspam (malware + spam) para expandir aún más su red de botnets.

Desde septiembre, el Security Lab de Hornetsecurity ha observado un aumento significativo en el malware de Emotet, que nuevamente envía archivos cifrados. La contraseña para descifrar el archivo, se incluye como texto plano en la carta de presentación del correo electrónico. Al cifrar el archivo adjunto, los programas antivirus convencionales no son capaces de detectar y bloquear el malware oculto. Sin embargo, la víctima puede descifrar, abrir y ejecutar el archivo, lo que eventualmente recarga el malware.

Ejemplo de archivo adjunto cifrado
Ejemplo de archivo adjunto cifrado

Pero este método no es nuevo: ya en abril de 2019, los analistas de seguridad descubrieron las primeras oleadas del malspam de Emotet, usando archivos zip cifrados. Desde entonces, tales olas de spam han ido apareciendo de vez en cuando a lo largo del año y duran unos pocos días. El grupo de white hats «Cryptolaemus» llama a esta acción de los actores detrás de Emotet operación: «Zip Lock». El equipo de más de 20 investigadores de seguridad y administradores de sistemas se ha fijado el objetivo de frenar la propagación del «malware más peligroso del mundo». Cada día, el grupo publica todas las actualizaciones de Emotet en su página web y en su cuenta de Twitter. Su objetivo es permitir que, los administradores de sistemas y redes, introduzcan en sus filtros de seguridad los llamados: Indicadores de Compromiso (IOCs), las direcciones IP de los servidores de comando de Emotet, las líneas de asunto y los hashes de archivos infectados por Emotet, para protegerse de posibles infecciones por Emotet.

La actual ola de malspam con archivos cifrados ha estado activa desde al menos el 1 de septiembre y fue dirigida por primera vez al mundo de habla japonesa.

Bsp Email JP Emotet

Finalmente, el Security Lab de Hornetsecurity registró olas de spam en español, inglés y alemán a partir del 14 de septiembre.

Distribución de Malspam Emotet en todo el mundo HSE

Para aumentar aún más las posibilidades de que su víctima abra realmente el correo electrónico malicioso, y active el archivo adjunto una vez llegue a su bandeja de entrada, los ciberdelincuentes también utilizan la técnica de «secuestro de hilo de conversación de correo electrónico». Al hacerlo, se utilizan los hilos de conversación del correo electrónico de la víctima para parecer más «auténticos». Es entonces, cuando los atacantes responden a las conversaciones existentes que su objetivo todavía tiene almacenadas en el buzón.

Una tendencia popular de la ciberdelincuencia

En general, el método de ciberataque  por correo electrónico –  con archivos adjuntos codificados – es bastante popular entre los grupos de ciberdelincuentes. Los analistas de seguridad de Hornetsecurity descubrieron documentos de Office cifrados en las campañas de malware de GandCrab, y el malware Ursnif también se está propagando a través de archivos zip cifrados.

Bsp Email GandCrab

¿Cómo puedo protegerme de esto?

Los archivos cifrados de Emotet, aún no son detectados por los programas antivirus convencionales, como demuestra el servicio de escaneo de malware VirusTotal.

VirusTotal Emotet detección de cero de los adjuntos

La técnica del secuestro de hilos de conversaciones de correo electrónico también contribuye al «éxito» de los ciberdelincuentes, pues es casi imposible que los destinatarios detecten ese tipo de ciberataque, ya que los correos electrónicos maliciosos se envían desde una cuenta legítima pero comprometida.

Sin embargo, filtros más avanzados y mecanismos de seguridad inteligentes son capaces de detectar ambas técnicas de ciberataque y mantenerlas alejadas del buzón del destinatario. Las acciones de los ciberdelincuentes que están detrás de Emotet, dejan claro que es hora de que las empresas den el siguiente paso en temas de ciberseguridad. Después de todo, los ciberataques exitosos continúan impulsando las ambiciones de los hackers y traen más cibercriminales a escena.

Más información:

  • Hornetsecuritys Advanced Threat Protection puede analizar e identificar estos archivos adjuntos encriptados gracias a la función de desencriptación de documentos maliciosos.
Secuestro de hilos de correo

Secuestro de hilos de correo

Resumen

Abrir archivos adjuntos y enlaces únicamente de remitentes conocidos es una recomendación habitual para prevenir ataques de malware y suplantación de identidad perpetrados mediante correo electrónico. Sin embargo, en este artículo describimos una técnica de ataque denominada «secuestro de hilos de correo» que explota hilos de correo previos de las víctimas y, de este modo, relaciones de confianza con las mismas para propagarse. En estos casos, el consejo mencionado ya no sirve. Aquí explicaremos el modo en que los atacantes se sirven del secuestro de hilos de correo y cómo éste incrementa de modo dramático la probabilidad de que las víctimas abran enlaces o archivos adjuntos maliciosos.

 

Detalles

Los ciberdelincuentes intentan incitar a las víctimas a abrir enlaces o archivos adjuntos maliciosos. Con este propósito, a menudo se valen de correos que imitan la apariencia de correos lícitos, tales como facturas. Sin embargo, si la víctima no es cliente de una empresa o servicio concreto, probablemente no le dé por abrir supuestas facturas de dichas empresas o servicios, especialmente sabiendo que se trata de la táctica más habitual empleada por los delincuentes para incitar a las víctimas a ejecutar su malware. Por tanto, los delincuentes suelen recurrir a acontecimientos especiales para despertar el interés de las víctimas por abrir sus enlaces o archivos adjuntos maliciosos. Ejemplos de tales acontecimientos son la Navidad, el Black Friday, Halloween o el día de San Valentín, así como, actualmente, la pandemia de COVID-19. Sin embargo, a menudo los usuarios también conocen estas estrategias y no abren ningún enlace o archivo adjunto malicioso, especialmente cuando aparecen de la nada y sin ningún contexto.

Por tanto, cada vez hay más atacantes que recurren a una técnica llamada «secuestro de hilos de correo». Con esta técnica, los atacantes se valen de hilos de correo de sus víctimas para propagarse hacia otras víctimas. Antiguamente, los atacantes se limitaban a emplear las direcciones de correo contenidas en las agendas de sus víctimas. El secuestro de hilos de correo también emplea hilos de correo antiguos de la víctima para encontrar nuevas víctimas. Con este fin, los atacantes responden a conversaciones que la víctima tiene en su buzón de correo.

 

¿Cómo funciona el secuestro de hilos de correo?

En el secuestro de hilos de correo, el ataque comienza contagiando a una primera víctima. A continuación, se roban sus correos y, a menudo, también sus datos de acceso a la cuenta de correo. Seguidamente, los atacantes responden a los correos de la víctima con sus mensajes maliciosos.

En el siguiente ejemplo, el campo «From» del correo contiene la dirección de la víctima. El campo «To» contiene la dirección de correo del usuario atacado, con el cual la víctima mantuvo previamente una comunicación por correo electrónico. El campo «Subject» contiene el asunto original del hilo de correo precedido por «Re: «. La cita bajo el mensaje contiene toda la conversación entre las dos partes.

Ejemplo de secuestro de hilos de correo

Los buenos atacantes también adaptan el idioma de la respuesta al empleado en el hilo de correo secuestrado. Así, por ejemplo, el siguiente ejemplo emplea una respuesta en alemán:

Ejemplo de secuestro de hilos de correo

Mientras que, en los ejemplos anteriores, la respuesta maliciosa contenía un enlace malicioso, estos correos también pueden valerse de archivos adjuntos maliciosos:

Ejemplo de secuestro de hilos de correo

 

¿Cómo de eficaz es el secuestro de hilos de correo?

Para ilustrar lo eficaz que es el secuestro de hilos de correo, hemos recreado una comunicación por correo electrónico que observamos durante una inspección rutinaria de falsos positivos:

Ejemplo de secuestro de hilos de correo

En este ejemplo, los atacantes comprometieron la cuenta de correo de Joe Schmoe y respondieron desde ella a un correo que Joe había recibido previamente de Alice. En su respuesta incluyeron un enlace malicioso (ABRE EL ENLACE) y algo de texto genérico. Alice sacó el correo de la cuarentena para abrir el enlace malicioso, pero su navegador la salvó de infectarse. Después escribió a la cuenta de correo comprometida de Joe para decir que no podía abrir «el archivo», y que necesitaría que se lo enviara en otro formato. A continuación, los atacantes enviaron a Alice otro enlace malicioso. Aunque estamos convencidos de que el hecho de que los atacantes volviesen a secuestrar un hilo de correo secuestrado previamente fue una coincidencia, este ejemplo demuestra lo eficaz que puede resultar el secuestro de hilos de correo.

Por suerte, (por ahora) no hay ningún atacante que adapte sus correos en función del hilo secuestrado. Sin embargo, como los delincuentes disponen de herramientas de secuestro de hilos de correo altamente automatizadas, la probabilidad de que los hilos secuestrados impliquen el intercambio de documentos en ambas direcciones es elevada. E incluso si tal cosa no ocurre, ¿quién no iba alguien a abrir un documento enviado por un contacto conocido dentro de un hilo de correo previo?

 

¿Quién emplea el secuestro de hilos de correo?

El número de delincuentes que emplean ataques de secuestro de hilos de correo sigue aumentando. Aunque la primera vez que se observó, en mayo de 2017, formaba parte de una campaña limitada de spear phishing, muchos ciberdelincuentes generalistas adoptaron la técnica en 2018.

En 2019, también Emotet adoptó el secuestro de hilos de correo. Con este propósito, añadieron un módulo de robo de correos. El módulo roba correos y datos de acceso de las víctimas y los envía a los servidores de control de Emotet, desde los cuales se distribuyen a los sistemas de otras víctimas infectados con el módulo de spam de Emotet, donde se emplean para atacar a nuevas víctimas. Recientemente, Emotet ha ampliado su secuestro de hilos de correo sustrayendo archivos adjuntos a sus víctimas y colocando su archivo malicioso entre archivos adjuntos benignos robados para que los correos parezcan aún más legítimos.

QakBot también se distribuye frecuentemente a través de respuestas a hilos de correo previos. En 2020, el malware Valek empezó también a distribuirse mediante secuestro de hilos de correo.

Hornetsecurity ha observado un aumento en las cuentas comprometidas empleadas para enviar correos maliciosos. Aunque (por ahora) no se emplea el secuestro de hilos de correo, sino que simplemente se utilizan las cuentas de correo de las víctimas para enviar correos, teniendo acceso a dichas cuentas es muy sencillo perpetrar ataques de secuestro de hilos de correo: basta con que el delincuente responda a correos recibidos por sus víctimas. Por tanto, estamos convencidos de que la tendencia a los ataques mediante secuestro de hilos de correo va a continuar. Así, los usuarios ya no van a poder fiarse de remitentes de confianza a la hora de decidir si es seguro o no abrir un archivo adjunto o hacer clic en un enlace.

 

Conclusión y soluciones

La recomendación de abrir únicamente archivos adjuntos o enlaces de correos electrónicos de remitentes conocidos está obsoleta. Con el secuestro de hilos de correo, incluso los ciberdelincuentes generalistas pueden automatizar correos altamente sofisticados y eficaces para cometer spear phishing. A menudo, las víctimas no saben que están infectadas. En tales casos es importante informar a las víctimas de que están distribuyendo contenido malicioso por correo electrónico para que puedan tomar medidas contra la infección. La medida más urgente sería cambiar los datos de acceso a la cuenta de correo. Otros pasos consistirían en determinar cómo obtuvieron los atacantes acceso a la cuenta de correo en primer lugar para evitar que tales incidentes se repitan en el futuro.

A los seres humanos les resulta muy difícil, si no imposible, detectar el secuestro de hilos de correo, ya que, al enviarse a través de cuentas de correo legítimas aunque comprometidas, y dejando aparte el estilo de escritura, los correos son indistinguibles de correos legítimos reales. Sin embargo, los filtros de correo que inspeccionan los archivos adjuntos o enlaces en correos pueden detectar contenidos maliciosos a pesar de eso.

Spam and Malware Protection de Hornetsecurity, con las tasas de detección más elevadas del mercado, detecta y pone en cuarentena las amenazas independientemente de si se emplean ataques de secuestro de hilos de correo o no. Advanced Threat Protection de Hornetsecurity tampoco se ve afectado por el secuestro de hilos de correo, e inspecciona los contenidos de cada correo independientemente de si se han enviado desde una cuenta comprometida. Los filtros de malware, phishing y ATP de Hornetsecurity tienen preferencia sobre las listas blancas de remitentes. De este modo, los clientes de Hornetsecurity estarán protegidos incluso si un remitente en una lista blanca se ve comprometido y su cuenta de correo se emplea para enviar correos maliciosos.

Emotet: ahora más sigiloso

Emotet: ahora más sigiloso

Resumen

El Security Lab de Hornetsecurity ha observado un incremento del 1000% en las descargas del cargador de Emotet. El aumento en las descargas del cargador de Emotet está relacionado con un cambio de compresor que provoca que el cargador sea detectado con menor frecuencia por los antivirus. Los datos que hemos recopilado apuntan a que el aumento en las descargas de Emotet se debe al hecho de que éste se detecta con menor frecuencia. Esto reduce la probabilidad de que los mecanismos de seguridad bloqueen sus URLs de descarga. Nuestros datos, sin embargo, también indican que los proveedores de antivirus ya están resolviendo el problema de detección, por lo que la tasa de detección del cargador de Emotet debería aumentar y el número de descargas debería reducirse. Este análisis muestra el efecto causado por los cambios en el compresor del cargador de Emotet.

Detalles

El malware conocido actualmente como Emotet se observó por primera vez en 2014. Por aquel entonces se trataba de un troyano bancario que sustraía datos bancarios y de acceso de sus víctimas. Sin embargo, más adelante, se transformó en una operación de malware como servicio (MaaS, por sus siglas en inglés) que provee servicios de distribución de malware a otros ciberdelincuentes.

Ya hemos escrito sobre Emotet en varias entradas anteriores. Los últimos acontecimientos pueden verse en la siguiente cronología:

Cronología de sucesos de Emotet

El 18 de agosto de 2020 se observaron cambios en el cargador de Emotet. El cargador de Emotet se comprime ahora con otro compresor. Varios investigadores han observado que este cambio de compresor ha provocado una menor tasa de detección del cargador de Emotet por parte de antivirus1. El cargador sin comprimir también se ha actualizado, pero dichas actualizaciones no han afectado mucho a sus descargas. Los cambios realizados el 7 de agosto de 2020 para resolver un desbordamiento de búfer empleado por una «vacuna» contra Emotet denominada EmoCrash no afectaron a las estadísticas de descarga de Emotet presentadas, ya que la «vacuna» solo actúa una vez descargado el cargador de Emotet.

Análisis técnico

Recopilamos estadísticas de descargas de las URLs de descarga de Emotet mediante los métodos descritos en nuestro artículo anterior sobre las webshells de Emotet2. Para quien no haya leído el artículo anterior, recordamos que el código de PHP empleado por Emotet para posibilitar sus descargas deja al descubierto un archivo JSON que indica el número de descargas de cargas útiles de Emotet en un dominio concreto. No hemos modificado ni nuestros métodos de adquisición ni nuestros métodos de análisis respecto al artículo anterior para garantizar que nuestros resultados sean directamente comparables y que los cambios observados puedan atribuirse a la operación de distribución de Emotet y a anomalías estadísticas provocadas por cambios metodológicos.

Hay dos tipos de URLs de descarga de Emotet: las que descargan un documento malicioso de Emotet y las que descargan el cargador de Emotet. Los documentos maliciosos de Emotet, que también pueden enviarse por correo electrónico, contienen URLs desde las cuales el código de macro de VBA descarga el cargador de Emotet, el malware que se instala en el ordenador de la víctima en sí.

En nuestros anteriores análisis, las URLs de descarga correspondientes al cargador de Emotet eran el 15%. Actualmente ascienden al 20%. Esto se debe a que los documentos maliciosos de Emotet ahora emplean 6 o incluso 7 URLs de descarga del cargador de Emotet, en lugar de las típicas 5, como puede verse en esta orden de PowerShell descodificada emitida por un documento malicioso reciente:

Emotet empleando 6 URLs de descarga

Sin embargo, la cantidad de descargas del cargador de Emotet que hemos podido recopilar de sitios web infectados mediante la página oculta de estadísticas de Emotet han aumentado un significativo 5%.

Las estadísticas de descarga del 29 de julio de 2020 indicaban que el cargador de Emotet se descargó a un ritmo medio de aproximadamente 2500 veces por hora. El siguiente gráfico muestra la proporción entre descargas de cargador y de documentos maliciosos, así como el volumen de las mismas a 29 de julio de 2020:

Estadísticas de descarga de Emotet antiguas

Dos días tras el cambio de compresor, el 19 de agosto de 2020, las estadísticas de descarga de Emotet indican que el cargador de Emotet se descargó a un ritmo medio de 25000 veces por hora, lo que supone un aumento del 1000%. El siguiente gráfico muestra la proporción entre descargas de cargadores y documentos maliciosos de Emotet, así como el volumen de las mismas a 19 de agosto de 2020:

Estadísticas de descarga de Emotet nuevas

Atribuimos este incremento a los recientes cambios realizados en el compresor de Emotet. Por ahora, los antivirus no detectan demasiado bien el nuevo paquete comprimido. Así, por ejemplo, la mayoría de URLs de descarga nuevas del paquete de Emotet pasó desapercibida para todos los antivirus de la lista de VirusTotal:

URL de descarga del cargador de Emotet no detectada en VirusTotal

URL de descarga del cargador de Emotet no detectada en VirusTotal

Aunque los resultados de VirusTotal no son representativos para la detección dinámica real de Emotet mediante programas antivirus, la reducción en la tasa de detección, especialmente en lo que respecta a las URLs de descarga del cargador de Emotet, indica claramente que el compresor de Emotet realmente la redujo. Como muchas de las URLs de descarga del cargador de Emotet solían etiquetarse inmediatamente como maliciosas, muchos productos de seguridad eran capaces de bloquear descargas por parte de víctimas potenciales, lo que provocaba un bajo total de descargas del cargador de Emotet.

El 20 de agosto de 2020, las descargas del cargador de Emotet descendieron a 7500 por hora, lo que supone una reducción del 70 % respecto al 19 de agosto:

Estadísticas de descarga tras mejora en detección de Emotet

Esto probablemente se deba a que los proveedores de antivirus hayan incrementado la detección del nuevo paquete comprimido de Emotet: al menos, las detecciones de VirusTotal de las URLs de descarga del nuevo cargador de Emotet comienzan a ser detectadas de nuevo por los antivirus:

URLs de descarga del cargador de Emotet detectadas de nuevo en VirusTotal

Esto apoya nuestra hipótesis de que el aumento en el número de descargas del cargador de Emotet se debe al nuevo compresor de Emotet y, en menor medida, al aumento de URLs de descarga del cargador de Emotet incluidas en los documentos maliciosos de Emotet.

Conclusión y soluciones

Nuestro análisis muestra el impacto causado por los cambios en el compresor de Emotet. Hemos observado un incremento del 1000 % en las descargas del cargador de Emotet, estrechamente relacionado con las detecciones realizadas por proveedores de software antivirus.

Para proteger frente a Emotet, la US CERT recomienda «implementar filtros en la puerta de enlace de correo con indicadores de spam malicioso conocidos»3.

Spam and Malware Protection de Hornetsecurity, con las tasas de detección más elevadas del mercado, no se ve afectado por las actualizaciones del cargador de Emotet (ya que éste nunca se envía directamente a través de correos electrónicos) y, por tanto, seguirá bloqueando todos los indicadores de spam malicioso de Emotet, tales como los documentos con macros empleados para la infección, así como URLs de descarga de Emotet conocidas. Advanced Threat Protection de Hornetsecurity amplía esta protección detectando también enlaces maliciosos aún desconocidos, que descarga de modo dinámico para luego ejecutar el contenido potencialmente malicioso en el entorno vigilado de una sandbox. Esto significa que, incluso si los cambios en el cargador de Emotet vienen acompañados de un cambio en las tácticas de distribución, Hornetsecurity estará preparada.

Aparte de bloquear los correos entrantes de Emotet, los defensores deberían valerse de la información de libre acceso proporcionada por el equipo Cryptolaemus, un grupo de voluntarios formado por especialistas en seguridad informática con el objetivo de combatir contra Emotet. Publican información nueva diariamente en su página web4. Allí podrá obtener la lista de IPs de servidores de C&C para encontrar y/o bloquear tráfico de control. Para recibir actualizaciones en tiempo real, puede seguirlos en su cuenta de Twitter5.

Referencias