Email Threat Review Mayo 2021

Email Threat Review Mayo 2021

Resumen

En esta edición de nuestra revisión mensual de las amenazas por correo electrónico, presentamos un resumen de aquellas observadas en mayo de 2021 y las comparamos con las del mes anterior.

El informe ofrece información sobre:

Emails no deseados por categoría

La siguiente tabla muestra la distribución de los correos electrónicos no deseados por categoría.

Categoría del email %
Rechazado 81.56
Spam 13.81
Amenaza 3.73
Amenaza avanzada 0.87
Contenido 0.03

El siguiente histograma temporal muestra el volumen de correos electrónicos por categoría y por día.

Unwanted emails by category

El pico de correos electrónicos rechazados entre el 23 y el 26 de mayo de 2021 se debe a una oleada de correos electrónicos de extorsión sexual dirigidos a usuarios de lengua alemana.

Sextortion email

Esta campaña y el consiguiente pico de correos electrónicos rechazados es similar a la observada en marzo1 en la que los atacantes ganaron unos 5.000 euros. Esta vez no hubo transacciones entrantes en los moneros de Bitcoin del atacante utilizados en el ciberataque.

Metodología

Las categorías de email listadas corresponden a las que aparecen en el Email Live Tracking del Control Panel de Hornetsecurity. Nuestros usuarios ya están familiarizados con ellas. Para los que no, las categorías son:

Categoría Descripción
Spam Estos correos electrónicos no son deseados y a menudo son promocionales o fraudulentos. Los correos electrónicos se envían simultáneamente a un gran número de destinatarios.
Contenido Estos correos tienen un adjunto no válido. Los administradores definen en el módulo de control de contenidos qué archivos adjuntos no son válidos.
Amenaza Estos correos electrónicos tienen contenido dañino, como archivos adjuntos o enlaces maliciosos, o se envían para cometer delitos, como el phishing.
Amenaza avanzada Advanced Threat Protection ha detectado una amenaza en estos correos electrónicos. Los correos se utilizan con fines ilícitos e implican medios técnicos sofisticados que sólo pueden combatirse mediante procedimientos dinámicos avanzados.
Rechazado Nuestro servidor de correo electrónico rechaza estos correos directamente durante el diálogo SMTP debido a características externas, como la identidad del remitente, y los correos no se analizan más.

Tipos de archivos usados en ataques

La siguiente tabla muestra la distribución de los tipos de archivos utilizados en los ciberataques.

Tipo de archivo (usado en emails maliciosos) %
Archivo 33.1
Otro 19.9
HTML 17.8
Excel 7.6
PDF 7.5
Ejecutable 5.8
Archivos de imágenes de disco 4.7
Word 2.8
Powerpoint 0.6
Archivo script 0.2
Email 0.1
Archivo LNK 0.0

El siguiente histograma temporal muestra el volumen de correos electrónicos por tipo de archivo utilizado en el ataque durante 7 días.

Filetypes used in attacks

Índice de amenazas de correo por industria

La siguiente tabla muestra nuestro índice de amenazas de correo electrónico por industria, calculado sobre la base del número de correos electrónicos amenazantes en comparación con los correos  limpios recibidos (en la mediana) por industria.

Industrias Porcentaje de amenaza en los correos amenazados y limpios
Investigación 6.9
Transporte 5.3
Manufactura 5.0
Educación 4.1
Salud 4.0
Media 3.9
Automoción 3.9
Entretenimiento 3.8
Servicios públicos 3.8
Hostelera 3.8

El siguiente gráfico de barras visualiza la amenaza que supone el correo electrónico para cada industria.

Hornetsecurity Industry Email Threat Index May 2021

Para comparar el gráfico de barras del índice de amenazas por correo electrónico del mes pasado:

Hornetsecurity Industry Email Threat Index April 2021

Metodología

Las organizaciones de distinto tamaño reciben un número absoluto diferente de correos electrónicos. Por lo tanto, calculamos el porcentaje de correos amenazantes de cada organización y los correos electrónicos limpios. A continuación, calculamos la mediana de estos valores porcentuales de todas las organizaciones del mismo sector para obtener la puntuación final del sector en cuanto a amenazas.

Suplantación de marcas de empresa u organizaciones

La siguiente tabla muestra las marcas de empresas que nuestros sistemas detectaron más en los ataques de suplantación de identidad.

Suplantación de marca u organización %
DocuSign 19.9
Amazon 17.6
Deutsche Post / DHL 16.8
Other 15.4
LinkedIn 4.0
Microsoft 2.8
PayPal 2.7
1&1 2.5
HSBC 2.1
O2 2.0

El siguiente histograma temporal muestra el volumen de correo electrónico de las marcas de empresas detectadas en los ataques de suplantación de identidad por hora.

Impersonated company brands

Es un flujo constante de phishing y otros ataques que suplantan a las grandes marcas para atraer a los destinatarios a abrir los correos electrónicos.

Campañas de correo electrónico sobre amenazas destacadas

En esta sección, queremos destacar algunas campañas de malspam de actores de amenazas prominentes y conocidos.

El siguiente histograma de tiempo muestra el volumen de correo electrónico de las campañas de amenazas destacadas por hora.

Highlighted threat email campaigns

Podemos ver que las oleadas de malspam de las campañas seleccionadas tienen puntos de inicio y final bien definidos, a diferencia de las campañas de correo electrónico de spam masivo menos sofisticadas, que enviarán correos electrónicos en un flujo constante.

Por favor, ten en cuenta que esto no contiene todas las campañas. Por tanto, la clasificación, así como las cifras de volumen, no deben tomarse como una clasificación global.

A partir de los datos, podemos ver que el malspam de Hancitor que suplanta a DocuSign es una campaña de malspam constante y de gran volumen.

Al final del mes, el aumento de los «tr» de QakBot basados en URLs (llamados así por la etiqueta de configuración/identificación de la campaña tr encontrado en la configuración del malware QakBot que ha sido distribuido) se puede ver el malspam. Esta campaña (al igual que otras campañas de malspam de QakBot) utiliza email conversation threat hijacking.2

QakBot TR email

Otro aspecto interesante de la campaña es que utiliza URLs de texto plano en las que no se puede hacer clic y que carecen de la dirección http://. Así, las víctimas deben copiar la URL manualmente en su navegador. Esto se hace probablemente con la esperanza de que los filtros de URL no detecten la URL en esta forma. Obviamente, la campaña utiliza varios sitios web comprometidos para alojar los archivos ZIP maliciosos, lo que complica aún más su detección.

Metodología

Hornetsecurity ha observado cientos de miles de campañas de correo electrónico de diferentes actores de amenazas que van desde ataques poco sofisticados y de bajo esfuerzo hasta esquemas de ataque ofuscados muy complejos. Nuestro análisis incluye solo las principales campañas de correo electrónico de amenazas sofisticadas.

Ransomleaks

Los actores de las amenazas siguen filtrando datos robados a las víctimas de ransomware para presionarlas a pagar no sólo por descifrar los archivos cifrados por el ransomware, sino también por no hacer públicos los datos robados antes del cifrado. Hemos observado el siguiente número de filtraciones en sitios de filtración de ransomware:

Leaksite Número de fugas de datos de las víctimas
Conti 73
Avaddon 56
Pysa 33
Darkside 25
REvil 21
Lorenz 19
Babuk 15
Xing Team 13
Nephilim 8
Cuba 6
Networm 5
Grief 5
Cl0p 4
RansomEXX 4
MountLocker 3
Everest 3
RagnarLocker 3
Astro Team 2

El siguiente gráfico de barras visualiza el número de fugas de datos de víctimas por sitio de fuga.

Ransomleaks May 2021

Hemos añadido la recopilación de datos para los siguientes sitios de filtración de ransomware:

El leaksite del ransomware Cuba fue visto por primera vez a finales de 2019. Sin embargo, el grupo no era muy activo. El leaksite actualmente cuenta con seis filtraciones.

.

Cuba ransomware leaksite

Recientemente se ha informado de que el ransomware Cuba coopera con el malware Hancitor, de cuyas campañas de malspam informamos en una  sección anterior. Por lo tanto, hemos añadido el sitio de filtración del ransomware Cuba a nuestro conjunto de datos.

El sitio de fugas del Xing Team fue anunciado a través del sitio de fugas del Astro Team el 2021-05-06 como nuevo partner del equipo.

Astro Team leaksite Xing Team announcement

El sitio de filtraciones de Xing Team presenta un diseño idéntico al sitio de filtraciones de Astro Team, pero contiene diferentes filtraciones de datos.

Xing Team leaksite

Por el momento se desconoce lo que implica esta asociación.

Otro sitio de filtraciones que surgió este mes es el del ransomware Prometheus. En su sitio, afirman una afiliación con el ransomware REvil. Sin embargo, hay que ver cuál es esa afiliación y si el ransomware REvil sabe siquiera que este nuevo sitio de filtraciones afirma tener una afiliación con ellos.

Prometheus leaksite

El sitio de fugas Prometheus no elimina las entradas de las empresas que han pagado el rescate o de los datos que podría vender. Las entradas respectivas simplemente se actualizan para reflejar si la empresa ha pagado o los datos se han vendido.

Prometheus leaksite

Otra novedad es el sitio de filtración «Grief».

Grief leaksite

Actualmente, se desconoce qué ransomware está asociado al sitio de filtraciones Grief, si es un ransomware ya conocido renombrado como Grief o si utilizan su propio ransomware.

Referencias

Email Threat Review Abril 2021

Email Threat Review Abril 2021

Resumen

En esta segunda entrega de nuestra revisión mensual de las amenazas del correo electrónico, presentamos un resumen de aquellos incidentes observados en abril de 2021 y lo comparamos con marzo de 2021.

El presente reporte proporciona información sobre:

Emails no deseados por categoría

La tabla a continuación muestra la distribución de correos electrónicos no deseados por categoría.

Categoría del email %
Rechazado 78.60
Spam 16.41
Amenaza 4.05
Amenaza avanzada 0.89
Contenido 0.04

El siguiente histograma temporal muestra el volumen de correos electrónicos por categoría y por hora.

Unwanted emails by category

A diferencia de marzo, en abril no hubo picos anómalos evidentes en los volúmenes de correo electrónico no deseado.

Metodología

Las categorías de email listadas corresponden a las categorías del Email Live Tracking del control panel de Hornetsecurity. Nuestros usuarios ya están familiarizados con ellas. Para otros, las categorías serían:

Category Description
Spam Estos correos electrónicos no son deseados y a menudo son promocionales o fraudulentos. Los correos electrónicos se envían simultáneamente a un gran número de destinatarios.
Contenido Estos correos electrónicos tienen un adjunto no válido. Los administradores definen en el módulo de control de contenidos qué archivos adjuntos no son válidos.
Amenaza Estos correos electrónicos poseen contenidos peligrosos, como archivos adjuntos o enlaces maliciosos, o se envían para cometer delitos, como el phishing.
Amenaza avanzada Advanced Threat Protection ha detectado una amenaza en estos correos electrónicos. Los correos electrónicos se utilizan con fines ilícitos e implican medios técnicos sofisticados que sólo pueden combatirse mediante procedimientos dinámicos avanzados.
Rechazado Nuestro servidor de correo electrónico rechaza estos correos directamente durante el diálogo SMTP debido a características externas, como la identidad del remitente, y los correos no se analizan más.

Tipos de archivos usados en los ataques

La siguiente tabla muestra la distribución de los tipos de archivos utilizados en los ataques.

Tipo de archivo (usado en emails maliciosos) %
Archivo 35.6
Otro 17.6
HTML 17.3
Excel 7.6
Executable 7.0
PDF 4.8
Archivos de imagen de disco 4.6
Word 3.5
Powerpoint 1.3
Archivo script 0.5
Email 0.1
Archivo LNK 0.0

El siguiente histograma temporal muestra el volumen de correo electrónico por tipo de archivo utilizado en los ataques durante 7 días.

Filetypes used in attacks

Archivos (.zip, .rar, .gzip, .ace, .tar.gz, etc.) son más populares. El uso más frecuente de los archivos en los ataques es comprimir el ejecutable del malware y adjuntarlo directamente al correo electrónico de ataque. Esto se hace con la esperanza de que el sistema de correo electrónico objetivo no sea capaz de escanear los archivos adjuntos comprimidos. Los actores de amenazas criminales de baja calidad suelen utilizar esta técnica, ya que no requiere ninguna experiencia técnica. Otro uso de los archivos es la compresión de documentos maliciosos. Esto también se hace para reducir la detección.

Archivos HTML (.htm, .html, etc.) se utilizan para la suplantación de identidad, adjuntando el sitio web de phishing directamente al correo electrónico1 (eludiendo así los filtros de URL), redirigiendo a las víctimas a sitios web para la descarga de malware2 (de nuevo para no incluir directamente una URL clicable en el correo electrónico), o ingeniería social.

Archivos Excel (.xls, .xlsm, .xlsx, .xslb, etc.) con sus macros XLM ganaron popularidad el año pasado. A diferencia del malware de macros VBA, el malware de macros XLM es menos detectado y, por tanto, favorecido por muchos actores de amenazas.3,4 De hecho, muchos actores de amenazas utilizan el mismo generador de documentos maliciosos llamado «EtterSilent» para generar sus macro documentos XLM.

PDFs (.pdf) utiliza enlaces incrustados u otros señuelos de ingeniería social.4

Adjuntando ejecutables (.exe) directamente a los correos electrónicos es el enfoque más perezoso. Lo utilizan principalmente los actores de amenazas criminales de baja calidad.

Los archivos de imagen de disco (.iso, .img, etc.) se utilizan de forma similar a los archivos.5 Windows puede montar automáticamente los archivos de imagen de disco de forma similar a los archivos ZIP.

Índice de amenazas del correo electrónico en la industria

La siguiente tabla muestra el Top 10 de nuestro Industry Email Threat Index calculado en base al número de correos electrónicos amenazantes en comparación con los correos electrónicos limpios recibidos (en la mediana) por cada industria.

Industrias Porcentaje de amenaza en los correos electrónicos amenazados y limpios
Industria de investigación 5.0
Industria manufacturera 3.9
Media industria 3.6
Industria hospitalaria 3.6
Industria educativa 3.5
Industria de la salud 3.5
Industria automotriz 3.3
Industria del transporte 3.2
Industria minorista 3.0
Industria de la tecnología de la información 3.0

El siguiente gráfico de barras visualiza la amenaza que supone el correo electrónico para cada industria.

  • Marzo 2021:

Hornetsecurity Industry Email Threat Index March 2021

  • Abril 2021:

Hornetsecurity Industry Email Threat Index April 2021

En las organizaciones la mediana global de correos electrónicos tanto de amenaza como limpios cayó del 3,7% en marzo al 3,0% en abril. Este descenso se observa en todos los sectores. Sin embargo, mientras que la industria manufacturera bajó del 5,3% al 3,9% y el resto de las industrias tuvieron una curva similar; la industria de la investigación se mantiene en el 5% de proporción de correos electrónicos de amenaza entre sus correos electrónicos recibidos tanto de amenaza como limpios.

Metodología

Las organizaciones de distinto tamaño reciben un número absoluto diferente de correos electrónicos. Por lo tanto, para comparar las organizaciones, calculamos el porcentaje de correos electrónicos amenazantes de cada organización y de los correos electrónicos limpios. A continuación, calculamos la mediana de estos valores porcentuales entre todas las organizaciones del mismo sector para obtener la puntuación final de la amenaza del sector.

Técnicas de ataque

La siguiente tabla muestra la técnica de ataque utilizada en los ataques.

Técnica de ataque %
Otro 38.4
Phishing 23.4
URL 20.8
Extorsión 9.0
Ejecutable en archivo/disco-imagen 3.4
Timo nigeriano 2.8
Suplantación de identidad 1.8
Maldoc 0.4
LNK 0.0

El siguiente histograma temporal muestra el volumen de correos electrónicos según técnica de ataque utilizada por hora.

Attack techniques

Suplantación de marcas de empresa u organizaciones

La siguiente tabla muestra las marcas de empresas que nuestros sistemas mayormente detectaron en los ataques de suplantación de identidad.

Suplantación de marca u organización %
Amazon 23.0
DocuSign 21.5
Deutsche Post / DHL 11.9
PayPal 3.4
Microsoft 2.9
LinkedIn 2.8
1&1 2.6
HSBC 2.2
Unicredit 1.6
O2 1.5
Otras Resto

El siguiente histograma temporal muestra el volumen de correo electrónico de las marcas de empresa detectadas en los ataques de suplantación de identidad por hora.

Impersonated company brands

Se trata de un flujo constante de ataques de phishing y de otro tipo que suplantan a grandes marcas para atraer a los destinatarios a abrir los correos electrónicos.

Una campaña recurrente de malspam de Hancitor domina la suplantación de la marca DocuSign.

Campañas de correo electrónico sobre amenazas destacadas

En esta sección, queremos destacar algunas campañas de malspam de actores de amenazas prominentes y conocidos.

El siguiente histograma de tiempo muestra el volumen de correo electrónico por hora para una lista de campañas de correo electrónico de amenazas destacadas.

Highlighted threat email campaigns

Hay que tener en cuenta que no se incluyen todas las campañas. Por tanto, la clasificación, así como las cifras de volumen, no deben tomarse como una clasificación global. Nos esforzaremos por ampliar esta sección de nuestros informes en el futuro.

Podemos ver que las oleadas de malspam de las campañas seleccionadas tienen puntos de inicio y finalización bien definidos, a diferencia de las campañas de correo electrónico de spam masivo menos sofisticadas, que enviarán correos electrónicos bajo un flujo constante.

Como ha sido resaltado anteriormente en la sección de suplantación de marcas de empresa u organizaciones la campaña recurrente de malspam de Hancitor se hace pasar por documentos enviados a través de DocuSign. Los picos de la campaña se corresponden con los picos anteriores de detecciones de suplantación de DocuSign.

Una de las campañas mostradas destaca no por su volumen, sino por su baja tasa de detección por parte de otras soluciones de seguridad. La red de bots Cutwail-A actualizó sus maldocs XLSM. Esta vez distribuía Ursnif.

Cutwail-A email

En el momento de la entrega, los maldocs de la campaña sólo fueron detectados por 3 de 62 detecciones en VirusTotal.

XLSM distributing Ursnif via malspam from Cutwail-A botnet low detection

Somos conscientes de que la detección de VirusTotal no representa la detección dinámica real de los productos de seguridad listados. Sin embargo, debido a que la campaña ya fue capturada por el Filtro de Spam y Malware de Hornetsecurity utilizando firmas de detección estática, es una comparación de manzanas-a-manzanas y describe las capacidades de detección de Hornetsecurity cuando se trata de la detección de amenazas de correo electrónico.

Metodología

Hornetsecurity ha observado cientos y miles de campañas de correo electrónico de diferentes actores de amenazas que van desde ataques poco sofisticados y de bajo esfuerzo hasta esquemas de ataque ofuscados muy complejos. Nuestro análisis incluye solo las principales campañas de correo electrónico de amenazas sofisticadas.

Ransomleaks

Los actores de las amenazas siguen filtrando datos robados a las víctimas de ransomware para presionarlas a pagar no sólo por descifrar los archivos cifrados por el ransomware, sino también por no hacer públicos los datos robados antes del cifrado. Hemos observado el siguiente número de filtraciones en sitios de filtración de ransomware:

Sitio de filtración Número de fugas de datos de las víctimas
Conti 41
Avaddon 40
REvil 33
Darkside 19
Babuk 17
Ragnarok 12
Astro Team 10
Cl0p 9
Everest 5
RansomEXX 2
Nephilim 1
RagnarLocker 1

El siguiente gráfico de barras visualiza el número de fugas de datos de víctimas por sitio de fuga.

Ransomleaks

Este mes, el grupo de ransomware Darkside ha anunciado que pone a la venta información privilegiada. Los vendedores a corto plazo podrían comprar información sobre las empresas comprometidas por el ransomware Darkside antes de su publicación en el sitio de filtraciones Darkside.

Darkside offering insider trading information for sale

Tras el anuncio, Darkside comenzó a etiquetar a sus víctimas publicadas con sus respectivos tickers de acciones.

Darkside tagging victims with their stock ticker

Además, este mes el ransomware Babuk anunció el cierre de su operación de ransomware.

Babuk ransomware press release announcing closing

Sin embargo, sólo unos días después, aclararon que sólo cerrarían la parte de su operación relacionada con el ransomware. Seguirán robando datos de las víctimas y extorsionándolas con la publicación de los datos robados.

Conclusión

Esperamos que la segunda entrega de nuestra revisión mensual de las amenazas del correo electrónico te haya resultado informativa. Regresa el mes que viene para que veas información más actualizada sobre el panorama de las amenazas del correo electrónico.

Referencias

Ransomware: precios, presión y protección

Ransomware: precios, presión y protección

Resumen

El ransomware es la forma más sencilla de monetizar las intrusiones informáticas y es, por tanto, el mayor riesgo cibernético para las empresas hoy en día. En el siguiente blog se analizan los precios del ransomware, la presión que los actores de la amenaza ejercen sobre las víctimas y cómo las empresas pueden proteger sus activos.

Importe de los rescates

Para estimar la cantidad de rescate que se pide actualmente, analizamos muestras de ransomware disponibles en fuentes OSINT. Se trata de muestras subidas a varios servicios en línea, como los servicios de escaneo antivirus en línea o los servicios de sandbox de análisis de malware, y así compartirlas con la comunidad de investigadores del área.

Hemos observado peticiones de rescate que van desde los 100 dólares hasta los 10.000.000 dólares americanos.

La petición de rescate más alta que observamos fue de 10.000.000 de US dólares. El ransomware Clop lo ameritaba.

Clop US $ 10M ransom demand

 

Mientras preparábamos este blog, la información pública sobre una demanda de rescate de 50.000.000 US dólares ha superado nuestra demanda máxima observada. Es esencial entender por qué existe un rango tan enorme en la petición de rescate. Por lo tanto, hablaremos de la volatilidad del importe del rescate en la siguiente sección.

Volatilidad del importe del rescate

La demanda de rescates se ajusta en función de varios factores. Uno de ellos es la victimología, es decir, los actores de la amenaza exigen un rescate más elevado a las grandes empresas que a un usuario particular de algún ordenador.

Como caso de estudio, podemos echar un vistazo a la primera campaña del ransomware Avaddon. Se propagó a través de malspam enviado por la red de bots Phorpiex. Hornetsecurity informó sobre esta campaña.1 La red de bots Phorpiex suele enviar spam de tipo Sextortion y otras amenazas de baja calidad. El rescate exigido por Avaddon en ese momento era de sólo 500 US dólares. El despliegue del ransomware era totalmente automático, es decir, una vez que la víctima ejecutaba el ransomware desde el archivo adjunto del correo electrónico, éste comenzaba a cifrar el ordenador de la víctima. Los actores de amenazas de mayor calidad se dirigen específicamente a las grandes empresas y utilizan la infección inicial para el reconocimiento. Después de haber mapeado la red de la empresa e identificado todos los activos, inician el ransomware en muchos de los sistemas informáticos de la empresa simultáneamente. De este modo, pueden exigir un mayor rescate, ya que restaurar toda la infraestructura informática de la empresa a partir de copias de seguridad es mucho más difícil que restaurar un solo ordenador cifrado.

Durante nuestra investigación encontramos una muestra reciente del ransomware Avaddon con una petición de rescate de 3.000.000 US dólares. Esto es mucho más alto que la demanda anterior de Avaddon de sólo 500 US dólares.

 

Avaddon ransomware US $3M ransom demand

 

La demanda anterior está dirigida a una gran empresa, y esto es lo que impulsa la diferencia en la demanda de rescate. Los actores de la amenaza ajustarán el rescate a lo que crean que puedan conseguir. Por lo tanto, no hay cifras claras cuando se trata de peticiones de rescate. A veces, los actores de las amenazas de ransomware incluso analizan los documentos financieros encontrados en la red interna de una empresa para descubrir cuánto rescate pueden pedir o cuánto pagará la cobertura del ciberseguro de la empresa para el ransomware.

Negociación

En caso de mayor Tier, las cantidades exigidas por ransomware suelen ser simplemente precios tentativos y son la base de la negociación. Los operadores de ransomware saben que aunque sea obtener sólo una fracción de lo que piden, es mejor que no obtener nada. De ahí que estén dispuestos a negociar.

Los precios del ransomware automatizado más pequeño son en su mayoría fijos, y si la operación de ransomware ofrece «apoyo» en absoluto, sólo se proporciona para ayudar a las víctimas a obtener la criptomoneda necesaria para pagar el rescate. A continuación se muestran los registros de chat con el «soporte» del ransomware Adhubllka (llamado así por la extensión .adhubllka que añade a los archivos cifrados). El ejecutable del ransomware se adjuntó al correo electrónico dentro de un archivo ZIP y se distribuyó a través de la red de bots Phorpiex en un ataque de ransomware poco sofisticado pero totalmente automatizado, de forma idéntica a la primera campaña de ransomware Avaddon de la que informamos.1

Adhubllka ransomware offers no negotiation

 

Por lo tanto, aunque hay un «soporte» humano incluso en las operaciones de ransomware automatizadas de bajo nivel de Tier, este «soporte» no se negocia. Rastreamos las ganancias totales de su campaña, que fueron de 0 BTC, por lo que ceder a nuestras falsas demandas de descuento les habría hecho ganar potencialmente 1.000 US dólares. Pero como hemos dicho, las operaciones de ransomware automatizadas de bajo nivel de Tier no suelen ofrecer negociaciones.

Presionando a las víctimas del ransomware

Algunos operadores de ransomware ofrecen «servicios» adicionales. Se trata de acciones destinadas a presionar a las víctimas para que paguen el rescate exigido.

Leaksites

Los leaksites de ransomware son sitios web de servicios ocultos de Tor en los que los actores de ransomware amenazan con publicar los datos robados de las redes informáticas de las víctimas antes de cifrarlos si la víctima se niega a pagar el rescate. Ya hemos informado sobre esta práctica.2

DDoS

Los actores del ransomware también pueden, además del problema ya existente de los archivos cifrados, realizar ataques DDoS a la red de la víctima. Un ransomware que lo hace es SunCrypt.

Suncrypt DDOS

 

Acoso a los clientes y/o socios comerciales de la víctima

Otra táctica es la de «notificar» a los clientes y/o socios comerciales de la víctima de la situación. Esto puede ocurrir a través de correos electrónicos de spam; por ejemplo, los actores de la amenaza detrás del ransomware Clop utilizan esta táctica en el siguiente mensaje:

 

Clop email to victim customers and/or business partners

 

Envío de spam a periodistas y medios de comunicación

Los actores del ransomware también «notifican» a los periodistas y a los medios de comunicación de la violación de datos con instrucciones sobre dónde descargar los datos filtrados. Aquí tenemos de nuevo un ejemplo del ransomware Clop utilizando esta táctica.

 

Clop email to journalists and news outlets

 

Notificación a las autoridades

Algunas operaciones de ransomware también amenazan con informar a las autoridades responsables de la protección de datos sobre la violación, si la víctima no paga el rescate. A menudo citan el GDPR de la UE y las posibles multas que las autoridades pueden recibir por la filtración de datos.

Precios del ransomware

El costo que supone para el atacante la adquisición de software de ransomware varía. Un atacante puede desarrollar su propio ransomware. Esto sólo supondrá el tiempo de desarrollo como costo. Sin embargo, muchos delincuentes son técnicamente incapaces de desarrollar malware por sí mismos o les supone demasiado trabajo adicional. Como alternativa, pueden comprar, alquilar, suscribir y/o asociarse con un desarrollador y/o operador de ransomware. Para ello, el desarrollador de ransomware puede vender todo el código fuente de su software de ransomware por un pago único. Sin embargo, esto no suele ser atractivo debido a los grandes pagos de rescate que se generan con dicho software de ransomware. Pero exigir decenas o incluso cientos de miles de dólares por el software de ransomware puede no conseguir que se venda el software, ya que el pago del rescate no está garantizado.

Para resolver esto, se establecieron operaciones de ransomware como servicio (RaaS). Un atacante con acceso o medios para acceder a las redes de la empresa puede alquilar, suscribir y/o asociarse con una operación de ransomware. El atacante obtiene el software de ransomware listo para ser desplegado en los sistemas informáticos de las víctimas. En cambio, el operador de ransomware proporciona el software de ransomware y -si está disponible y/o es necesario- la infraestructura de backend para el ransomware, como un portal de ransomware en línea para ayudar a las víctimas a comprar y utilizar el software de descifrado.

Al igual que el rescate exigido, el precio del ransomware varía. El precio de entrada puede ser tan bajo como cientos de dólares americanos, como se puede ver en el siguiente ejemplo de ofertas del ransomware Egalyty.

Egalyty ransomware offering

 

Los esquemas de afiliación con reparto de beneficios dividirán el rescate pagado entre la parte que suministra el ransomware y la que facilita la intrusión. Además, en este caso, la proporción de reparto varía mucho. Aunque hemos visto avisos en foros de ciberdelincuencia en los que se ofrece el 90% del rescate a la parte intrusa, esto no suele ser la norma.

 

Cheap ransomware affiliate program offering

La proporción habitual de los programas de afiliación de ransomware bien establecidos sólo concede entre el 10% y el 30% del rescate a la parte intrusa.

 

Conclusión y contramedidas

Estos nuevos avances en las tácticas del ransomware hacen que las infecciones de malware sean más peligrosas que nunca para las empresas. Aunque unas buenas copias de seguridad, preferiblemente utilizando la estrategia de copia de seguridad 3-2-1,3 ayudaron contra los ataques clásicos de ransomware, no proporcionan ninguna protección contra los datos privados y/o confidenciales que se filtran intencionadamente al público. El anuncio derivado de la filtración de datos a los socios comerciales y a los clientes causará más daño y pérdida de reputación a las víctimas, a los socios comerciales y a los clientes. Y lo que es peor, los competidores también tendrán acceso sin restricciones a documentos internos, como contratos, precios, resultados de investigación y desarrollo. Los medios de comunicación empezarán a ponerse en contacto con la empresa afectada, provocando más tensión en plena crisis del ransomware. Además, supongamos que la red sufre un ataque DDoS. Sería difícil recuperarse de esa situación, ya que esto probablemente afectará a cualquier infraestructura de red restante que la empresa pueda tener para transmitir información, como su página web pública.

A continuación, no subas a Internet el ransomware que te ha infectado. Aunque los servicios en línea como VirusTotal u otras cajas de arena en línea son convenientes, conceden a los usuarios registrados acceso a la muestra. La URL de la nota del ransomware puede apuntar a un sitio web de «soporte» que ofrece un chat en línea para la negociación. Estos chats en línea son accesibles para cualquier persona con acceso a los datos de la nota de rescate, por lo tanto, todo el mundo con acceso a la muestra de ransomware. Así que si además de todos los otros problemas, no quieres que los medios de comunicación filtren los registros del chat de negociación, mantén tus muestras de ransomware en privado. O sigue las buenas prácticas y no negocies, pero comparte la muestra de ransomware con la comunidad de investigadores de seguridad.

Pagar un rescate no es recomendable de todos modos:
1. La violación de los datos permanece. Incluso si una empresa paga para que se eliminen los datos filtrados, debe cumplir con sus respectivas leyes de notificación de violaciones.
2. Pagar un rescate a un atacante ubicado en un país que figura en las listas de sanciones, puede violar las leyes de sanciones comerciales y/o de exportación y causar a la víctima aún más problemas a largo plazo.
3. No hay garantía de descifrado ni de eliminación de los datos filtrados.
Una vez que los datos filtrados ya se han descargado del sitio de filtración, no hay forma de contener la filtración.

Hornetsecurity, con sus ofertas en la nube puede ayudar a las organizaciones a prepararse y prevenir el ransomware. El Spam and Malware Protection, de Hornetsecurity con las tasas de detección más altas del mercado y Advanced Threat Protection de Hornetsecurity pueden detectar y poner en cuarentena los ataques de malware basados en el correo electrónico antes de que puedan conducir a una infección de ransomware. El Email Archiving de Hornetsecurity es una solución de archivado de correo electrónico totalmente automatizada y a prueba de auditorías para el almacenamiento seguro e inalterable a largo plazo de información, datos y archivos importantes de la empresa. De esta manera, la comunicación importante no puede ser destruida por el ransomware.

Pero incluso si tu empresa se ve afectada por el ransomware, ofertas como el Email Continuity Service de Hornetsecurity mantendrán tu comunicación por correo electrónico disponible si el ransomware ha puesto tu servidor de correo local fuera de servicio.

 

Referencias

El elaborado cebo de la floristería de BazarLoader

El elaborado cebo de la floristería de BazarLoader

Resumen

Desde el 20 de enero de 2020 Hornetsecurity ha observado una nueva campaña de malspam que utiliza una falsa floristería, en un elaborado señuelo de ingeniería social, para propagar el malware BazarLoader. La campaña envía facturas de una falsa floristería con la esperanza de que las víctimas potenciales; encuentren el sitio web de la falsa floristería y descarguen el malware BazarLoader

Con el fin de atraer a las víctimas para que proporcionen asistencia, la campaña configura un sitio web de floristería completamente funcional y puede así evadir los esquemas de detección automatizados que buscan contenido malicioso, ya que la descarga maliciosa se hará manualmente por la víctima siguiendo varios pasos de la trampa de ingeniería social.

Antecedentes

BazarLoader1 es un cargador de malware atribuido a un actor de la amenaza con una estrecha relación con el malware TrickBot. El actor de la amenaza es rastreado bajo el nombre de Team9 (Cybereason) o UNC1878 (FireEye).

BazarLoader también recibe el acertado nombre de KEGTAP por parte de FireEye, como en un dispositivo utilizado para abrir un barril de cerveza, porque se utiliza para «abrir» la red de las víctimas para seguir al malware con el fin de moverse lateralmente en la red y, finalmente, desplegar el ransomware Ryuk.2

Ya habíamos informado de una campaña de BazarLoader, que utilizaba un señuelo de ingeniería social de despido para propagar su malware.3

La campaña observada comenzó el 21-01-2021 y está en curso.

Histograma con los temas de la campaña BazarLoader

Utiliza varios temas referidos a una factura de la floristería Mundo Rosa. Spoiler: La floristería no es real. La factura adjunta es una elaborada estafa de ingeniería social para engañar a las víctimas para que descarguen el malware BazarLoader.

Análisis Técnico

El siguiente análisis describe cada paso de la nueva y elaborada campaña de ingeniería social de BazarLoader.

Email

El ataque comienza con un correo electrónico.

 Correo de la tienda de flores

El correo electrónico finge ser una factura de la tienda online Rose World, una floristería online

PDF

En el correo electrónico se adjunta una factura en PDF.

 PDF de la tienda de flores BazarLoader

El PDF no tiene enlaces donde hacer clic. Sin embargo, presenta un nombre de dominio bajo la dirección del supuesto emisor de la factura.

URL de la floristería BazarLoader en PDF

Tienda de flores falsa

Cuando el destinatario visita este dominio, se presenta una tienda web de flores.

Tienda de flores falsa

Aunque se trata de una tienda falsa, cuenta con:

  • Una página «sobre nosotros»

Página de la falsa floristería BazarLoader sobre nosotros

  • Un blog

BazarLoader flower shop fake blog

  • Una tienda con un carrito de la compra totalmente funcional, una lista de deseos y botones para compartir en Twitter y Facebook

Tienda de flores BazarLoader

Sin embargo, el pago falla porque supuestamente no hay métodos de pago disponibles.

BazarLoader falsa floristería y forma de pago

La forma de pago es lo único que no funciona en la supuesta tienda. Por lo tanto, es muy difícil identificar esto como un sitio web malicioso.

El señuelo

Dado que la tienda parece legítima, es probable que el destinatario intente ponerse en contacto con el propietario de la tienda para aclarar la factura que ha recibido falsamente. Para ello, visitan la sección de contacto de la tienda falsa.

Página de contacto de la floristería BazarLoader

Aquí un último indicador de que algo no va bien. El marco de Google Maps está en ruso, mientras que el resto de la tienda web pretende ser de Estados Unidos. Sin embargo, es probable que la víctima continúe hasta el cómodo campo de introducción del número de pedido.

Señuelo de ingeniería social BazarLoader

Cuando la víctima introduce el número de pedido – de hecho, cualquier entrada será suficiente – se le redirige a través de una pantalla de carga.

Página de carga falsa de BazarLoader

La página de carga también es falsa, el contenido ya está cargado bajo la superposición de la página de carga.

A continuación, se presentan a la víctima las instrucciones para descargar y ejecutar el malware.

Instrucciones de descarga del malware de floristería BazarLoader

Incluye instrucciones para evitar la advertencia de descarga de archivos maliciosos en Google Chrome.

Instrucciones de descarga del malware de floristería BazarLoader

Incluso incluye instrucciones para eludir las funciones de seguridad de Windows que impiden la ejecución del archivo por haber sido descargado de Internet.

Instrucciones de ejecución del malware de floristería BazarLoader

El enlace «Formulario de solicitud» descargará un documento malicioso de hxxps[:]//rosedelivery[.]us/.

Documento malicioso

El documento malicioso finge estar protegido por DocuSign y es necesario permitir que las macros lo descifren.

Documento malicioso de la floristería BazarLoader

El código de la macro XLM descargará el ejecutable BazarLoader de hxxps[:]//www.smowengroup[.]com/fer/iertef.php y lo ejecutará.

BazarLoader floristería maliciosa XLM macro script

El BazarLoader utiliza el sistema descentralizado Emerald DNS basado en el blockchain Emercoin para establecer su comunicación C2. Descargará e instalará el BazarBackdoor1. Este backdoor se utilizará para moverse lateralmente en la red de la víctima con el fin de tomar el mando del controlador de dominio. Finalmente la intrusión se monetiza desplegando el ransomware Ryuk2.

Objetivo

La campaña está dirigida a empresas estadounidenses. Lo deducimos del correo electrónico, del PDF y de la falsa tienda web, pero también de los destinatarios, que son empresas estadounidenses y/o empresas internacionales con presencia en Estados Unidos.

Conclusión y contramedidas

La nueva campaña de BazarLoader no incluye indicadores maliciosos en sus correos electrónicos, como documentos macro o URLs en las que se puede hacer clic. Más bien se basa en un elaborado señuelo de ingeniería social, para llevar a la víctima a encontrar y descargar el malware por sí misma, en lugar de entregárselo directamente. La cantidad de trabajo manual que requieren las víctimas, hace que esta campaña sea difícil de detectar mediante medidas automatizadas. Por este motivo, Hornetsecurity sigue de cerca las operaciones de malspam de los actores de la amenaza para atajar rápidamente las nuevas amenazas. Hornetsecurity ya está al tanto de este nuevo y elaborado esquema de ingeniería social para distribuir el BazarBackdoor y el servicio de Hornetsecurity Spam and Malware Protection, pone en cuarentena los nuevos correos de BazarLoader.

Referencias

Indicadores de Compromiso (IOCs)

Correo

Asuntos

  • Congratulations on the latest purchase you have made!Your order number is KCD[0-9]{8}G.
  • Congratulations on your purchase from our store! Your order number is KCD[0-9]{8}G.
  • Order Confirmed. Your order number KCD[0-9]{8}G will be send to you soon.
  • Purchase confirmation for order number KCD[0-9]{8}G
  • Thanks for your order, your order number KCD[0-9]{8}G.
  • Thank you for using the (Rose Deliver|Rose World) stores service. Your order number is KCD[0-9]{8}G.
  • Thank you for your order from the (Rose Deliver|Rose World) online shop, your order number is KCD[0-9]{8}G.
  • Thank you for your order from the (Rose Deliver|Rose World) online store, your order number is KCD[0-9]{8}G.
  • Thank you for your purchase, your order number is KCD[0-9]{8}G.
  • You have formed an order KCD[0-9]{8}G from (Rose Deliver|Rose World) online store.
  • Your order No. KCD[0-9]{8}G has been completed by (Rose Deliver|Rose World).

La representación se condensó utilizando los siguientes patrones regex:KCD[0-9]{8}G, (Rose Deliver|Rose World)

Nombres de archivos adjuntos

  • invoice_KCD[0-9]{8}G.pdf

Representación se condensó utilizando los siguientes patrones regex:KCD[0-9]{8}G

Hashes

MD5 Filename Description
c3347d329bda013282d32ee298c8dc45 invoice_KCD86786085G.pdf Lure PDF
e8b0cc2767cc0195570af56e9e7750fe request_form_1611584809.xlsm Downloaded Maldoc

URLs

  • hxxps[:]//roseworld[.]shop
  • hxxps[:]//rosedelivery[.]us/

DNS

  • roseworld[.]shop
  • rosedelivery[.]us
Desmantelada la red de bots Emotet

Desmantelada la red de bots Emotet

Resumen

El 27 de enero de 2021 Europol anunció que, una acción judicial y policial coordinada a nivel mundial, ha desarticulado la red de bots Emotet. Los investigadores han tomado el control de la infraestructura del malware. Si tiene éxito, esto podría significar el fin de Emotet: su botnet, malspam (malware + spam)  y operación de carga de malware. Aunque la situación aún está en desarrollo, podemos confirmar que la infraestructura de la botnet Emotet está interrumpida. Las víctimas serán notificadas por los CERTs de los países responsables y deberán tomar las medidas oportunas para limpiar su malware, Emotet. Además de las infecciones secundarias, para evitar que siga activo el malware que fue descargado por Emotet y desplegar el ransomware.

Antecedentes

Emotet (también conocido como Heodo) se observó por primera vez en 2014. Se trataba de un troyano bancario que robaba datos bancarios y credenciales de inicio de sesión de las víctimas. Pero pasó a ser una operación de malware como servicio (MaaS) que proporciona servicios de distribución de malware a otros ciberdelincuentes. En la actualidad, Emotet es probablemente la operación de distribución de malware más prolífica. Para ello, roba los correos electrónicos y responde a las conversaciones anteriores de la víctima. Esto se conoce como secuestro del hilo de conversación del correo electrónico5 . Hornetsecurity ha escrito numerosas entradas de blog sobre Emotet2,3,4,5.

¿Qué ha pasado?

La cooperación internacional de las fuerzas de seguridad y judiciales de todo el mundo, coordinado por Europol y Eurojust, ha desmantelado la red de bots Emotet. En esta operación han participado las siguientes autoridades:

  • Holanda: Policía nacional (Politie), National Public Prosecution Office (Landelijk Parket)
  • Alemania: Policía federal (Bundeskriminalamt), Fiscalía General Frankfurt/Main (Generalstaatsanwaltschaft)
  • Francia: Policía nacional (Police Nationale), Tribunal Judicial de París (Tribunal Judiciaire de Paris)
  • Lituania: Oficina de la Policía Criminal de Lituania (Lietuvos kriminalinės policijos biuras), Fiscalía General de Lituania
  • Canadá: Royal Canadian Mounted Police
  • Estados Unidos: Federal Bureau of Investigation, U.S. Department of Justice, US Attorney’s Office for the Middle District of North Carolina
  • Gran Bretaña: National Crime Agency, Crown Prosecution Service
  • Ucrania: Policía nacional de Ucrania (Національна поліція України), de la Fiscalía General (Офіс Генерального прокурора).

Los investigadores obtuvieron el control de la infraestructura de un sospechoso ubicado en Ucrania. La comunicación C2 de Emotet ha sido desenmascarada y la información de las víctimas conectadas ha sido entregada a los CERTs responsables del país, que notificarán a las víctimas para que puedan limpiar la infección.

La Policía Nacional holandesa también ha obtenido una base de datos con direcciones de correo electrónico, nombres de usuario y contraseñas robadas por Emotet a lo largo de los años. Ofrecen un sitio web para comprobar si una dirección de correo electrónico ha sido comprometida en http://www.politie.nl/emocheck.

Emotet «uninstaller»

Además, la policía criminal federal de Alemania (Bundeskriminalamt (BKA)) está distribuyendo un programa para eliminar la botnet Emotet que desinstalará el malware el 25-03-2021 a las 12:00.

El programa creará una marca de tiempo para el 5-03-2021 a las 12:00.

Marca de tiempo para desinstalar

El programa generará un hilo que en un bucle dormirá durante 1000 minutos (16,6 horas) hasta que llegue el momento de desinstalar Emotet.

Hilo para desinstalar Emotet

Una vez llegado el momento de desinstalar Emotet, la clave de registro y su servicio se eliminan. El binario de Emotet se mueve a una ruta de archivo temporal, que lo pone en cuarentena para posibles investigaciones DFIR en el sistema infectado.

Desistalación de Emotet

La razón más probable por la que Emotet no se ha eliminado inmediatamente es para permitir que las partes afectadas realicen investigaciones DFIR. El objetivo es descubrir el malware potencialmente secundario que se desplegó a través de Emotet.

A nuestro entender, las acciones de «sinkholing» y «desinstalación» se llevan a cabo bajo los auspicios de la Policía Criminal Federal alemana (BKA), por lo que las direcciones IP del sinkhole son propiedad del ISP alemán Deutsche Telekom.

¿Qué ocurrirá después?

Aunque nuestros filtros de correo siguen detectando correos electrónicos esporádicos que contienen documentos maliciosos de Emotet, es probable que se trate de correos que todavía estaban en las colas de los «spambots» de Emotet o de los sistemas de correo electrónico y que acaban de ser entregados; a pesar de que la infraestructura de la red de bots de Emotet ha sido interrumpida.

Diagrama de malspam de Emotet

Esperamos que los restos de malspam de Emotet, que salen de la moribunda red de bots Emotet, terminen en los próximos días, semanas y, si el desmantelamiento tiene éxito, se detengan por completo.

Aunque siempre existe la posibilidad de que una red de bots pueda reagruparse después de una interrupción (véase TrickBot), esto, sin embargo, parece poco probable en este caso, ya que no sólo se han interrumpido los servidores proxy C2 de nivel 1 (como fue el caso de la interrupción de la red de bots TrickBot), sino que – según nuestra información también se ha interrumpido el servidor C2 de nivel 2, es decir, el servidor C2 real, al que los servidores proxy C2 de nivel 1 sólo retransmitían el tráfico.

¿Quién llenará el vacío?

Emotet constituía alrededor del 20% del tráfico de correo electrónico malicioso procesado por Hornetsecurity. Distribuía malware de otros actores de la amenaza. Si bien el desmantelamiento de Emotet significará que no habrá más correo maliciosos, probablemente no significará una disminución del mismo, ya que otros actores de amenazas tratarán de llenar el vacío y tomar la base de clientes existente de la operación de malware como servicio (MaaS) de Emotet.

Un fuerte competidor para llenar el vacío generado por la interrupción de Emotet es QakBot10. El año pasado QakBot añadió el secuestro de hilos de conversación por correo electrónico5 a su arsenal, es decir, al igual que Emotet, roba los correos electrónicos de las víctimas y crea malspam no adaptado respondiendo a hilos de conversación de correo electrónico existentes. También se ha observado que QakBot carga otro malware, como ZLoader.sup>8 Además, los documentos maliciosos basados en macros XLM de QakBot7 suelen tener una tasa de detección más baja que los documentos maliciosos basados en macros VBA de Emotet. Por lo tanto, cumple con todos los requisitos que un cibercriminal tendría hacia un reemplazo de Emotet.

Conclusión y contramedidas

Felicitamos a todas las partes participantes y esperamos que la toma de posesión de Emotet sea un éxito a largo plazo.

Mientras que el propio Emotet puede ser inoperable, otras amenazas que Emotet ha cargado previamente como TrickBot6, QakBot7, o Zloader8 permanecen activos y podrían seguir desplegando ransomware como Ryuk y Egregor. Si las autoridades te informan de una infección de Emotet, también debes limpiar estas posibles infecciones secundarias para mitigar la amenaza completa.

En caso de que la red de bots Emotet pueda recuperarse, el programa de Hornetsecurity Spam and Malware Protection, con las tasas de detección más altas del mercado, volverá a detectar y poner en cuarentena, como antes de la interrupción, los documentos maliciosos de Emotet.

Referencias

Indicadores de compromiso (IOCs)

IPs

Estas son las IPs utilizadas por la Policía Criminal Federal Alemana (Bundeskriminalamt (BKA)) para hundir a Emotet.

  • 80.158.3.161:443
  • 80.158.51.209:8080
  • 80.158.35.51:80
  • 80.158.63.78:443
  • 80.158.53.167:80
  • 80.158.62.194:443
  • 80.158.59.174.8080
  • 80.158.43.136:80

Hashes

Este es el hash del programa distribuido por la Policía Criminal Alemana (Bundeskriminalamt (BKA)) para eliminar Emotet el 25-03-2021 a las 12:00.

MD5 Descripción
9a062ead5b2d55af0a5a4b39c5b5eadc Emotet «uninstaller»
Hornetsecurity evalúa la puerta trasera de SolarWinds SUNBURST

Hornetsecurity evalúa la puerta trasera de SolarWinds SUNBURST

Resumen ejecutivo

  • FireEye descubrió un ataque global de tipo troyano a la cadena de suministro de la Plataforma Orión de SolarWinds, a causa de una puerta trasera que FireEye llamó SUNBURST.
  • Versiones afectadas: plataforma SolarWinds Orion, versiones 2019.4 HF 5, 2020.2 (sin ningún hotfix instalado), 2020.2 HF 1
  • Versión corregida: Plataforma SolarWinds Orion versión 2020.2.1 HF 2
  • Aunque las versiones troyanas de la Plataforma Orión de SolarWinds se han difundido ampliamente entre organizaciones públicas y privadas de todo el mundo, la información actual indica que la puerta trasera de SUNBURST fue utilizada para el espionaje por un estado nacional y sólo se usó para infiltrarse en un grupo selecto de víctimas. Otros daños colaterales ocurrieron al  instalar las versiones troyanas de la Plataforma Orión de SolarWinds .
  • Para saber si estás afectado (más allá de comprobar las versiones instaladas de la Plataforma Orion de SolarWinds) comprueba los registros DNS consultando avsvmcloud[.]com o.digitalcollege[.]org (¡Incluyendo subdominios!).
  • Hornetsecurity no se ve afectada y no utiliza productos de SolarWinds.
  • Debido a que se trata de un incidente global en curso, comprueba los enlaces a los siguientes recursos para obtener información e imágenes actualizadas.

Resumen

El 13 de diciembre de 2020, FireEye reveló una puerta trasera en las actualizaciones de la Plataforma Orión de SolarWinds. Las organizaciones afectadas deben actualizar la versión corregida de manera inmediata.

La puerta trasera es parte de una operación de espionaje global y se utiliza para acceder a las redes del Gobierno y de empresas privadas de alto perfil.

Hornetsecurity evaluó su situación y no se ve afectada.

Antecedentes

La Plataforma Orion de SolarWinds es el líder del mercado de monitorización de redes, con más de 275.000 clientes en 190 países y proporcionando monitorización de redes a 400 de las empresas de la lista Fortune 500, el gobierno de EE.UU. y otras organizaciones de alto perfil.

El 13 de diciembre de 2020, FireEye reveló que durante el periodo comprendido entre el 01-03-2020 y 01-06-2020, las actualizaciones de la Plataforma Orión de SolarWinds fueron troyanizadas, por ello, lo llamaron la puerta trasera de SUNBURST.3 Previamente el 18-12-2020 FireEye  reveló una brecha de seguridad en su propia organizaciónn,2 para la que más tarde se identificó la actualización de la Plataforma Orión de SolarWinds como el vector de intrusión.

FireEye atribuye esta intrusión a un actor de amenaza aún desconocido que están rastreando como UNC2452. Aunque muchos medios de comunicación informan de esta intrusión atribuida al APT29, creemos que esto es incorrecto ya que el APT29 es un actor de amenaza designado por el propio FireEye pero aún así no lo han atribuido directamente al APT29.

El 14-12-2020  SolarWinds publicó un aviso de seguridad1 en relación a este asunto.

Análisis técnico

La puerta trasera deSolarWinds.Orion.Core.BusinessLayer.dll del software de la plataforma de SolarWinds Orion, espera después de la instalación una cantidad  entre 12 y 14 días – seleccionada al azar – antes de ejecutar su código malicioso.  Intenta establecer una comunicación C2 usando un algoritmo de generación de nombres de dominio (DGA) to <ENCODED VICTIM HOSTNAME>.appsync-api.{eu,us}-{west,east}-{1,2}.avsvmcloud[.]com. El código <ENCODED VICTIM HOSTNAME> de la parte del subdominio contiene el nombre del host codificado de las víctimas. Puede ser decodificado usando una herramienta proporcionada por RedDrip77

Los registros de subdominio correspondientes a los nombres de host de las víctimas a las que se dirigía la intrusión recibieron una respuesta DNS CNAME que los redirigió a uno de los dominios C2. Las víctimas que no eran el objetivo no recibieron un CNAME.6Aunque se trata de un ataque a gran escala a la cadena de suministro, la información actual indica que el propósito de la intrusión es el espionaje llevado a cabo por un estado nacional. Esto significa que mientras (según los archivos de la SEC de SolarWinds 8) alrededor de 18.000 víctimas instalaron las actualizaciones comprometidas, sólo una fracción muy pequeña fue realmente el objetivo de este ataque, el resto son daños colaterales.

En las organizaciones seleccionadas, la puerta trasera se utiliza como puente en la red de la organización, mediante la instalación de la TEARDROP y BEACON (del marco de Cobalt Strike) malware para infiltrarse aún más en la red.

Conclusión y medidas

A diferencia del ataque a la cadena de suministro contra el paquete de contabilidad fiscal ucraniano M.E.Doc, que dio lugar al incidente global de NotPetya en 2017, el objetivo de esta intrusión era el espionaje. Por lo tanto, sólo redes de objetivos seleccionados fueron instruidas a través de la puerta trasera de SUNBURST, del software comprometido de la Plataforma Orion de SolarWinds.

Las organizaciones que hayan instalado una versión de la Plataforma Orión de SolarWinds afectada deben tratar a todos los anfitriones monitoreados por la Plataforma Orión de SolarWinds como comprometidos, identificar todas las cuentas e infraestructuras controladas por los actores de la amenaza dentro de la organización y eliminarlas, y sólo entonces reconstruir la instalación de la Plataforma Orión de SolarWinds. Las organizaciones con requisitos de protección elevados pueden seguir la guía de la Directiva de Emergencia 21-01 del DHS4 (obviamente sin informar al CISA, a menos que la organización sea parte del gobierno de los EE.UU).

Un buen punto de partida para identificar la actividad de los actores de la amenaza es buscar los IoCs proporcionados por FireEye3,5 en los registros DNS. En caso de que los DNS consulten a uno de los <ENCODED VICTIM HOSTNAME>.appsync-api.{eu,us}-{west,east}-{1,2}.avsvmcloud[.]com subdominios encontrados, puedes usar SunBurst DGA Decoder provided by RedDrip77 para averiguar qué nombre de host, ejecutó tu red por puerta trasera SUNBURST. En caso de que encuentres respuestas CNAME a estas consultas DNS, esto significaría que además de ejecutar el código de puerta trasera, los actores de la amenaza están/estaban interesados en el host y elevaron la conexión a una conexión C2 completa. En este último caso, recomendamos contactar inmediatamente con un proveedor de respuesta a incidentes competente.

Aplaudimos a nuestros colegas de FireEye por sus minuciosas investigaciones.

Referencias

Indicadores de compromiso (IoCs)

Para una lista completa de IoCs y firmas de detección, por favor vea las contramedidas publicadas por FireEye: https://github.com/fireeye/sunburst_countermeasures

DNS

  • .avsvmcloud[.]com
  • .appsync-api.eu-west-1[.]avsvmcloud[.]com
  • .appsync-api.us-west-2[.]avsvmcloud[.]com
  • .appsync-api.us-east-1[.]avsvmcloud[.]com
  • .appsync-api.us-east-2[.]avsvmcloud[.]com
  • .digitalcollege[.]org

¡Indicadores conocidos solamente a partir del 16-12-2020! Por favor, para obtener información actualizada comprueba los recursos vinculados.