Threat Research Archive - Página 2 de 3 - Hornetsecurity – Servicios de seguridad en nube para empresas

Ransomware: precios, presión y protección

por Security Lab | Abr 20, 2021 | Threat Research

Resumen

El ransomware es la forma más sencilla de monetizar las intrusiones informáticas y es, por tanto, el mayor riesgo cibernético para las empresas hoy en día. En el siguiente blog se analizan los precios del ransomware, la presión que los actores de la amenaza ejercen sobre las víctimas y cómo las empresas pueden proteger sus activos.

Importe de los rescates

Para estimar la cantidad de rescate que se pide actualmente, analizamos muestras de ransomware disponibles en fuentes OSINT. Se trata de muestras subidas a varios servicios en línea, como los servicios de escaneo antivirus en línea o los servicios de sandbox de análisis de malware, y así compartirlas con la comunidad de investigadores del área.

Hemos observado peticiones de rescate que van desde los 100 dólares hasta los 10.000.000 dólares americanos.

La petición de rescate más alta que observamos fue de 10.000.000 de US dólares. El ransomware Clop lo ameritaba.

Mientras preparábamos este blog, la información pública sobre una demanda de rescate de 50.000.000 US dólares ha superado nuestra demanda máxima observada. Es esencial entender por qué existe un rango tan enorme en la petición de rescate. Por lo tanto, hablaremos de la volatilidad del importe del rescate en la siguiente sección.

Volatilidad del importe del rescate

La demanda de rescates se ajusta en función de varios factores. Uno de ellos es la victimología, es decir, los actores de la amenaza exigen un rescate más elevado a las grandes empresas que a un usuario particular de algún ordenador.

Como caso de estudio, podemos echar un vistazo a la primera campaña del ransomware Avaddon. Se propagó a través de malspam enviado por la red de bots Phorpiex. Hornetsecurity informó sobre esta campaña.1 La red de bots Phorpiex suele enviar spam de tipo Sextortion y otras amenazas de baja calidad. El rescate exigido por Avaddon en ese momento era de sólo 500 US dólares. El despliegue del ransomware era totalmente automático, es decir, una vez que la víctima ejecutaba el ransomware desde el archivo adjunto del correo electrónico, éste comenzaba a cifrar el ordenador de la víctima. Los actores de amenazas de mayor calidad se dirigen específicamente a las grandes empresas y utilizan la infección inicial para el reconocimiento. Después de haber mapeado la red de la empresa e identificado todos los activos, inician el ransomware en muchos de los sistemas informáticos de la empresa simultáneamente. De este modo, pueden exigir un mayor rescate, ya que restaurar toda la infraestructura informática de la empresa a partir de copias de seguridad es mucho más difícil que restaurar un solo ordenador cifrado.

Durante nuestra investigación encontramos una muestra reciente del ransomware Avaddon con una petición de rescate de 3.000.000 US dólares. Esto es mucho más alto que la demanda anterior de Avaddon de sólo 500 US dólares.

La demanda anterior está dirigida a una gran empresa, y esto es lo que impulsa la diferencia en la demanda de rescate. Los actores de la amenaza ajustarán el rescate a lo que crean que puedan conseguir. Por lo tanto, no hay cifras claras cuando se trata de peticiones de rescate. A veces, los actores de las amenazas de ransomware incluso analizan los documentos financieros encontrados en la red interna de una empresa para descubrir cuánto rescate pueden pedir o cuánto pagará la cobertura del ciberseguro de la empresa para el ransomware.

Negociación

En caso de mayor Tier, las cantidades exigidas por ransomware suelen ser simplemente precios tentativos y son la base de la negociación. Los operadores de ransomware saben que aunque sea obtener sólo una fracción de lo que piden, es mejor que no obtener nada. De ahí que estén dispuestos a negociar.

Los precios del ransomware automatizado más pequeño son en su mayoría fijos, y si la operación de ransomware ofrece «apoyo» en absoluto, sólo se proporciona para ayudar a las víctimas a obtener la criptomoneda necesaria para pagar el rescate. A continuación se muestran los registros de chat con el «soporte» del ransomware Adhubllka (llamado así por la extensión .adhubllka que añade a los archivos cifrados). El ejecutable del ransomware se adjuntó al correo electrónico dentro de un archivo ZIP y se distribuyó a través de la red de bots Phorpiex en un ataque de ransomware poco sofisticado pero totalmente automatizado, de forma idéntica a la primera campaña de ransomware Avaddon de la que informamos.¹

Por lo tanto, aunque hay un «soporte» humano incluso en las operaciones de ransomware automatizadas de bajo nivel de Tier, este «soporte» no se negocia. Rastreamos las ganancias totales de su campaña, que fueron de 0 BTC, por lo que ceder a nuestras falsas demandas de descuento les habría hecho ganar potencialmente 1.000 US dólares. Pero como hemos dicho, las operaciones de ransomware automatizadas de bajo nivel de Tier no suelen ofrecer negociaciones.

Presionando a las víctimas del ransomware

Algunos operadores de ransomware ofrecen «servicios» adicionales. Se trata de acciones destinadas a presionar a las víctimas para que paguen el rescate exigido.

Leaksites

Los leaksites de ransomware son sitios web de servicios ocultos de Tor en los que los actores de ransomware amenazan con publicar los datos robados de las redes informáticas de las víctimas antes de cifrarlos si la víctima se niega a pagar el rescate. Ya hemos informado sobre esta práctica.²

DDoS

Los actores del ransomware también pueden, además del problema ya existente de los archivos cifrados, realizar ataques DDoS a la red de la víctima. Un ransomware que lo hace es SunCrypt.

Acoso a los clientes y/o socios comerciales de la víctima

Otra táctica es la de «notificar» a los clientes y/o socios comerciales de la víctima de la situación. Esto puede ocurrir a través de correos electrónicos de spam; por ejemplo, los actores de la amenaza detrás del ransomware Clop utilizan esta táctica en el siguiente mensaje:

Envío de spam a periodistas y medios de comunicación

Los actores del ransomware también «notifican» a los periodistas y a los medios de comunicación de la violación de datos con instrucciones sobre dónde descargar los datos filtrados. Aquí tenemos de nuevo un ejemplo del ransomware Clop utilizando esta táctica.

Notificación a las autoridades

Algunas operaciones de ransomware también amenazan con informar a las autoridades responsables de la protección de datos sobre la violación, si la víctima no paga el rescate. A menudo citan el GDPR de la UE y las posibles multas que las autoridades pueden recibir por la filtración de datos.

Precios del ransomware

El costo que supone para el atacante la adquisición de software de ransomware varía. Un atacante puede desarrollar su propio ransomware. Esto sólo supondrá el tiempo de desarrollo como costo. Sin embargo, muchos delincuentes son técnicamente incapaces de desarrollar malware por sí mismos o les supone demasiado trabajo adicional. Como alternativa, pueden comprar, alquilar, suscribir y/o asociarse con un desarrollador y/o operador de ransomware. Para ello, el desarrollador de ransomware puede vender todo el código fuente de su software de ransomware por un pago único. Sin embargo, esto no suele ser atractivo debido a los grandes pagos de rescate que se generan con dicho software de ransomware. Pero exigir decenas o incluso cientos de miles de dólares por el software de ransomware puede no conseguir que se venda el software, ya que el pago del rescate no está garantizado.

Para resolver esto, se establecieron operaciones de ransomware como servicio (RaaS). Un atacante con acceso o medios para acceder a las redes de la empresa puede alquilar, suscribir y/o asociarse con una operación de ransomware. El atacante obtiene el software de ransomware listo para ser desplegado en los sistemas informáticos de las víctimas. En cambio, el operador de ransomware proporciona el software de ransomware y -si está disponible y/o es necesario- la infraestructura de backend para el ransomware, como un portal de ransomware en línea para ayudar a las víctimas a comprar y utilizar el software de descifrado.

Al igual que el rescate exigido, el precio del ransomware varía. El precio de entrada puede ser tan bajo como cientos de dólares americanos, como se puede ver en el siguiente ejemplo de ofertas del ransomware Egalyty.

Los esquemas de afiliación con reparto de beneficios dividirán el rescate pagado entre la parte que suministra el ransomware y la que facilita la intrusión. Además, en este caso, la proporción de reparto varía mucho. Aunque hemos visto avisos en foros de ciberdelincuencia en los que se ofrece el 90% del rescate a la parte intrusa, esto no suele ser la norma.

La proporción habitual de los programas de afiliación de ransomware bien establecidos sólo concede entre el 10% y el 30% del rescate a la parte intrusa.

Conclusión y contramedidas

Estos nuevos avances en las tácticas del ransomware hacen que las infecciones de malware sean más peligrosas que nunca para las empresas. Aunque unas buenas copias de seguridad, preferiblemente utilizando la estrategia de copia de seguridad 3-2-1,³ ayudaron contra los ataques clásicos de ransomware, no proporcionan ninguna protección contra los datos privados y/o confidenciales que se filtran intencionadamente al público. El anuncio derivado de la filtración de datos a los socios comerciales y a los clientes causará más daño y pérdida de reputación a las víctimas, a los socios comerciales y a los clientes. Y lo que es peor, los competidores también tendrán acceso sin restricciones a documentos internos, como contratos, precios, resultados de investigación y desarrollo. Los medios de comunicación empezarán a ponerse en contacto con la empresa afectada, provocando más tensión en plena crisis del ransomware. Además, supongamos que la red sufre un ataque DDoS. Sería difícil recuperarse de esa situación, ya que esto probablemente afectará a cualquier infraestructura de red restante que la empresa pueda tener para transmitir información, como su página web pública.

A continuación, no subas a Internet el ransomware que te ha infectado. Aunque los servicios en línea como VirusTotal u otras cajas de arena en línea son convenientes, conceden a los usuarios registrados acceso a la muestra. La URL de la nota del ransomware puede apuntar a un sitio web de «soporte» que ofrece un chat en línea para la negociación. Estos chats en línea son accesibles para cualquier persona con acceso a los datos de la nota de rescate, por lo tanto, todo el mundo con acceso a la muestra de ransomware. Así que si además de todos los otros problemas, no quieres que los medios de comunicación filtren los registros del chat de negociación, mantén tus muestras de ransomware en privado. O sigue las buenas prácticas y no negocies, pero comparte la muestra de ransomware con la comunidad de investigadores de seguridad.

Pagar un rescate no es recomendable de todos modos:
1. La violación de los datos permanece. Incluso si una empresa paga para que se eliminen los datos filtrados, debe cumplir con sus respectivas leyes de notificación de violaciones.
2. Pagar un rescate a un atacante ubicado en un país que figura en las listas de sanciones, puede violar las leyes de sanciones comerciales y/o de exportación y causar a la víctima aún más problemas a largo plazo.
3. No hay garantía de descifrado ni de eliminación de los datos filtrados.
Una vez que los datos filtrados ya se han descargado del sitio de filtración, no hay forma de contener la filtración.

Hornetsecurity, con sus ofertas en la nube puede ayudar a las organizaciones a prepararse y prevenir el ransomware. El Spam and Malware Protection, de Hornetsecurity con las tasas de detección más altas del mercado y Advanced Threat Protection de Hornetsecurity pueden detectar y poner en cuarentena los ataques de malware basados en el correo electrónico antes de que puedan conducir a una infección de ransomware. El Email Archiving de Hornetsecurity es una solución de archivado de correo electrónico totalmente automatizada y a prueba de auditorías para el almacenamiento seguro e inalterable a largo plazo de información, datos y archivos importantes de la empresa. De esta manera, la comunicación importante no puede ser destruida por el ransomware.

Pero incluso si tu empresa se ve afectada por el ransomware, ofertas como el Email Continuity Service de Hornetsecurity mantendrán tu comunicación por correo electrónico disponible si el ransomware ha puesto tu servidor de correo local fuera de servicio.

Referencias

El elaborado cebo de la floristería de BazarLoader

por Security Lab | Ene 28, 2021 | Threat Research

Resumen

Desde el 20 de enero de 2020 Hornetsecurity ha observado una nueva campaña de malspam que utiliza una falsa floristería, en un elaborado señuelo de ingeniería social, para propagar el malware BazarLoader. La campaña envía facturas de una falsa floristería con la esperanza de que las víctimas potenciales; encuentren el sitio web de la falsa floristería y descarguen el malware BazarLoader

Con el fin de atraer a las víctimas para que proporcionen asistencia, la campaña configura un sitio web de floristería completamente funcional y puede así evadir los esquemas de detección automatizados que buscan contenido malicioso, ya que la descarga maliciosa se hará manualmente por la víctima siguiendo varios pasos de la trampa de ingeniería social.

Antecedentes

BazarLoader¹ es un cargador de malware atribuido a un actor de la amenaza con una estrecha relación con el malware TrickBot. El actor de la amenaza es rastreado bajo el nombre de Team9 (Cybereason) o UNC1878 (FireEye).

BazarLoader también recibe el acertado nombre de KEGTAP por parte de FireEye, como en un dispositivo utilizado para abrir un barril de cerveza, porque se utiliza para «abrir» la red de las víctimas para seguir al malware con el fin de moverse lateralmente en la red y, finalmente, desplegar el ransomware Ryuk.²

Ya habíamos informado de una campaña de BazarLoader, que utilizaba un señuelo de ingeniería social de despido para propagar su malware.³

La campaña observada comenzó el 21-01-2021 y está en curso.

Utiliza varios temas referidos a una factura de la floristería Mundo Rosa. Spoiler: La floristería no es real. La factura adjunta es una elaborada estafa de ingeniería social para engañar a las víctimas para que descarguen el malware BazarLoader.

Análisis Técnico

El siguiente análisis describe cada paso de la nueva y elaborada campaña de ingeniería social de BazarLoader.

Email

El ataque comienza con un correo electrónico.

El correo electrónico finge ser una factura de la tienda online Rose World, una floristería online

PDF

En el correo electrónico se adjunta una factura en PDF.

El PDF no tiene enlaces donde hacer clic. Sin embargo, presenta un nombre de dominio bajo la dirección del supuesto emisor de la factura.

Tienda de flores falsa

Cuando el destinatario visita este dominio, se presenta una tienda web de flores.

Aunque se trata de una tienda falsa, cuenta con:

Una página «sobre nosotros»

Un blog

Una tienda con un carrito de la compra totalmente funcional, una lista de deseos y botones para compartir en Twitter y Facebook

Sin embargo, el pago falla porque supuestamente no hay métodos de pago disponibles.

La forma de pago es lo único que no funciona en la supuesta tienda. Por lo tanto, es muy difícil identificar esto como un sitio web malicioso.

El señuelo

Dado que la tienda parece legítima, es probable que el destinatario intente ponerse en contacto con el propietario de la tienda para aclarar la factura que ha recibido falsamente. Para ello, visitan la sección de contacto de la tienda falsa.

Aquí un último indicador de que algo no va bien. El marco de Google Maps está en ruso, mientras que el resto de la tienda web pretende ser de Estados Unidos. Sin embargo, es probable que la víctima continúe hasta el cómodo campo de introducción del número de pedido.

Cuando la víctima introduce el número de pedido – de hecho, cualquier entrada será suficiente – se le redirige a través de una pantalla de carga.

La página de carga también es falsa, el contenido ya está cargado bajo la superposición de la página de carga.

A continuación, se presentan a la víctima las instrucciones para descargar y ejecutar el malware.

Incluye instrucciones para evitar la advertencia de descarga de archivos maliciosos en Google Chrome.

Incluso incluye instrucciones para eludir las funciones de seguridad de Windows que impiden la ejecución del archivo por haber sido descargado de Internet.

El enlace «Formulario de solicitud» descargará un documento malicioso de hxxps[:]//rosedelivery[.]us/.

Documento malicioso

El documento malicioso finge estar protegido por DocuSign y es necesario permitir que las macros lo descifren.

El código de la macro XLM descargará el ejecutable BazarLoader de hxxps[:]//www.smowengroup[.]com/fer/iertef.php y lo ejecutará.

El BazarLoader utiliza el sistema descentralizado Emerald DNS basado en el blockchain Emercoin para establecer su comunicación C2. Descargará e instalará el BazarBackdoor¹. Este backdoor se utilizará para moverse lateralmente en la red de la víctima con el fin de tomar el mando del controlador de dominio. Finalmente la intrusión se monetiza desplegando el ransomware Ryuk².

Objetivo

La campaña está dirigida a empresas estadounidenses. Lo deducimos del correo electrónico, del PDF y de la falsa tienda web, pero también de los destinatarios, que son empresas estadounidenses y/o empresas internacionales con presencia en Estados Unidos.

Conclusión y contramedidas

La nueva campaña de BazarLoader no incluye indicadores maliciosos en sus correos electrónicos, como documentos macro o URLs en las que se puede hacer clic. Más bien se basa en un elaborado señuelo de ingeniería social, para llevar a la víctima a encontrar y descargar el malware por sí misma, en lugar de entregárselo directamente. La cantidad de trabajo manual que requieren las víctimas, hace que esta campaña sea difícil de detectar mediante medidas automatizadas. Por este motivo, Hornetsecurity sigue de cerca las operaciones de malspam de los actores de la amenaza para atajar rápidamente las nuevas amenazas. Hornetsecurity ya está al tanto de este nuevo y elaborado esquema de ingeniería social para distribuir el BazarBackdoor y el servicio de Hornetsecurity Spam and Malware Protection, pone en cuarentena los nuevos correos de BazarLoader.

Referencias

Indicadores de Compromiso (IOCs)

Correo

Asuntos

Congratulations on the latest purchase you have made!Your order number is KCD[0-9]{8}G.
Congratulations on your purchase from our store! Your order number is KCD[0-9]{8}G.
Order Confirmed. Your order number KCD[0-9]{8}G will be send to you soon.
Purchase confirmation for order number KCD[0-9]{8}G
Thanks for your order, your order number KCD[0-9]{8}G.
Thank you for using the (Rose Deliver|Rose World) stores service. Your order number is KCD[0-9]{8}G.
Thank you for your order from the (Rose Deliver|Rose World) online shop, your order number is KCD[0-9]{8}G.
Thank you for your order from the (Rose Deliver|Rose World) online store, your order number is KCD[0-9]{8}G.
Thank you for your purchase, your order number is KCD[0-9]{8}G.
You have formed an order KCD[0-9]{8}G from (Rose Deliver|Rose World) online store.
Your order No. KCD[0-9]{8}G has been completed by (Rose Deliver|Rose World).

La representación se condensó utilizando los siguientes patrones regex:KCD[0-9]{8}G, (Rose Deliver|Rose World)

Nombres de archivos adjuntos

invoice_KCD[0-9]{8}G.pdf

Representación se condensó utilizando los siguientes patrones regex:KCD[0-9]{8}G

Hashes

MD5	Filename	Description
`c3347d329bda013282d32ee298c8dc45`	`invoice_KCD86786085G.pdf`	Lure PDF
`e8b0cc2767cc0195570af56e9e7750fe`	`request_form_1611584809.xlsm`	Downloaded Maldoc

URLs

hxxps[:]//roseworld[.]shop
hxxps[:]//rosedelivery[.]us/

DNS

roseworld[.]shop
rosedelivery[.]us

Desmantelada la red de bots Emotet

por Security Lab | Ene 28, 2021 | Blog, Threat Research

Resumen

El 27 de enero de 2021 Europol anunció que, una acción judicial y policial coordinada a nivel mundial, ha desarticulado la red de bots Emotet. Los investigadores han tomado el control de la infraestructura del malware. Si tiene éxito, esto podría significar el fin de Emotet: su botnet, malspam (malware + spam) y operación de carga de malware. Aunque la situación aún está en desarrollo, podemos confirmar que la infraestructura de la botnet Emotet está interrumpida. Las víctimas serán notificadas por los CERTs de los países responsables y deberán tomar las medidas oportunas para limpiar su malware, Emotet. Además de las infecciones secundarias, para evitar que siga activo el malware que fue descargado por Emotet y desplegar el ransomware.

Antecedentes

Emotet (también conocido como Heodo) se observó por primera vez en 2014. Se trataba de un troyano bancario que robaba datos bancarios y credenciales de inicio de sesión de las víctimas. Pero pasó a ser una operación de malware como servicio (MaaS) que proporciona servicios de distribución de malware a otros ciberdelincuentes. En la actualidad, Emotet es probablemente la operación de distribución de malware más prolífica. Para ello, roba los correos electrónicos y responde a las conversaciones anteriores de la víctima. Esto se conoce como secuestro del hilo de conversación del correo electrónico⁵. Hornetsecurity ha escrito numerosas entradas de blog sobre Emotet^2,3,4,5.

¿Qué ha pasado?

La cooperación internacional de las fuerzas de seguridad y judiciales de todo el mundo, coordinado por Europol y Eurojust, ha desmantelado la red de bots Emotet. En esta operación han participado las siguientes autoridades:

Holanda: Policía nacional (Politie), National Public Prosecution Office (Landelijk Parket)
Alemania: Policía federal (Bundeskriminalamt), Fiscalía General Frankfurt/Main (Generalstaatsanwaltschaft)
Francia: Policía nacional (Police Nationale), Tribunal Judicial de París (Tribunal Judiciaire de Paris)
Lituania: Oficina de la Policía Criminal de Lituania (Lietuvos kriminalinės policijos biuras), Fiscalía General de Lituania
Canadá: Royal Canadian Mounted Police
Estados Unidos: Federal Bureau of Investigation, U.S. Department of Justice, US Attorney’s Office for the Middle District of North Carolina
Gran Bretaña: National Crime Agency, Crown Prosecution Service
Ucrania: Policía nacional de Ucrania (Національна поліція України), de la Fiscalía General (Офіс Генерального прокурора).

Los investigadores obtuvieron el control de la infraestructura de un sospechoso ubicado en Ucrania. La comunicación C2 de Emotet ha sido desenmascarada y la información de las víctimas conectadas ha sido entregada a los CERTs responsables del país, que notificarán a las víctimas para que puedan limpiar la infección.

La Policía Nacional holandesa también ha obtenido una base de datos con direcciones de correo electrónico, nombres de usuario y contraseñas robadas por Emotet a lo largo de los años. Ofrecen un sitio web para comprobar si una dirección de correo electrónico ha sido comprometida en http://www.politie.nl/emocheck.

Emotet «uninstaller»

Además, la policía criminal federal de Alemania (Bundeskriminalamt (BKA)) está distribuyendo un programa para eliminar la botnet Emotet que desinstalará el malware el 25-03-2021 a las 12:00.

El programa creará una marca de tiempo para el 5-03-2021 a las 12:00.

El programa generará un hilo que en un bucle dormirá durante 1000 minutos (16,6 horas) hasta que llegue el momento de desinstalar Emotet.

Una vez llegado el momento de desinstalar Emotet, la clave de registro y su servicio se eliminan. El binario de Emotet se mueve a una ruta de archivo temporal, que lo pone en cuarentena para posibles investigaciones DFIR en el sistema infectado.

La razón más probable por la que Emotet no se ha eliminado inmediatamente es para permitir que las partes afectadas realicen investigaciones DFIR. El objetivo es descubrir el malware potencialmente secundario que se desplegó a través de Emotet.

A nuestro entender, las acciones de «sinkholing» y «desinstalación» se llevan a cabo bajo los auspicios de la Policía Criminal Federal alemana (BKA), por lo que las direcciones IP del sinkhole son propiedad del ISP alemán Deutsche Telekom.

¿Qué ocurrirá después?

Aunque nuestros filtros de correo siguen detectando correos electrónicos esporádicos que contienen documentos maliciosos de Emotet, es probable que se trate de correos que todavía estaban en las colas de los «spambots» de Emotet o de los sistemas de correo electrónico y que acaban de ser entregados; a pesar de que la infraestructura de la red de bots de Emotet ha sido interrumpida.

Esperamos que los restos de malspam de Emotet, que salen de la moribunda red de bots Emotet, terminen en los próximos días, semanas y, si el desmantelamiento tiene éxito, se detengan por completo.

Aunque siempre existe la posibilidad de que una red de bots pueda reagruparse después de una interrupción (véase TrickBot), esto, sin embargo, parece poco probable en este caso, ya que no sólo se han interrumpido los servidores proxy C2 de nivel 1 (como fue el caso de la interrupción de la red de bots TrickBot), sino que – según nuestra información también se ha interrumpido el servidor C2 de nivel 2, es decir, el servidor C2 real, al que los servidores proxy C2 de nivel 1 sólo retransmitían el tráfico.

¿Quién llenará el vacío?

Emotet constituía alrededor del 20% del tráfico de correo electrónico malicioso procesado por Hornetsecurity. Distribuía malware de otros actores de la amenaza. Si bien el desmantelamiento de Emotet significará que no habrá más correo maliciosos, probablemente no significará una disminución del mismo, ya que otros actores de amenazas tratarán de llenar el vacío y tomar la base de clientes existente de la operación de malware como servicio (MaaS) de Emotet.

Un fuerte competidor para llenar el vacío generado por la interrupción de Emotet es QakBot¹⁰. El año pasado QakBot añadió el secuestro de hilos de conversación por correo electrónico⁵ a su arsenal, es decir, al igual que Emotet, roba los correos electrónicos de las víctimas y crea malspam no adaptado respondiendo a hilos de conversación de correo electrónico existentes. También se ha observado que QakBot carga otro malware, como ZLoader.sup>8 Además, los documentos maliciosos basados en macros XLM de QakBot⁷ suelen tener una tasa de detección más baja que los documentos maliciosos basados en macros VBA de Emotet. Por lo tanto, cumple con todos los requisitos que un cibercriminal tendría hacia un reemplazo de Emotet.

Conclusión y contramedidas

Felicitamos a todas las partes participantes y esperamos que la toma de posesión de Emotet sea un éxito a largo plazo.

Mientras que el propio Emotet puede ser inoperable, otras amenazas que Emotet ha cargado previamente como TrickBot⁶, QakBot⁷, o Zloader⁸ permanecen activos y podrían seguir desplegando ransomware como Ryuk y Egregor. Si las autoridades te informan de una infección de Emotet, también debes limpiar estas posibles infecciones secundarias para mitigar la amenaza completa.

En caso de que la red de bots Emotet pueda recuperarse, el programa de Hornetsecurity Spam and Malware Protection, con las tasas de detección más altas del mercado, volverá a detectar y poner en cuarentena, como antes de la interrupción, los documentos maliciosos de Emotet.

Referencias

Indicadores de compromiso (IOCs)

IPs

Estas son las IPs utilizadas por la Policía Criminal Federal Alemana (Bundeskriminalamt (BKA)) para hundir a Emotet.

80.158.3.161:443
80.158.51.209:8080
80.158.35.51:80
80.158.63.78:443
80.158.53.167:80
80.158.62.194:443
80.158.59.174.8080
80.158.43.136:80

Hashes

Este es el hash del programa distribuido por la Policía Criminal Alemana (Bundeskriminalamt (BKA)) para eliminar Emotet el 25-03-2021 a las 12:00.

MD5	Descripción
`9a062ead5b2d55af0a5a4b39c5b5eadc`	Emotet «uninstaller»

Hornetsecurity evalúa la puerta trasera de SolarWinds SUNBURST

por Security Lab | Dic 17, 2020 | Blog, Seguridad de la información, Threat Research

Resumen ejecutivo

FireEye descubrió un ataque global de tipo troyano a la cadena de suministro de la Plataforma Orión de SolarWinds, a causa de una puerta trasera que FireEye llamó SUNBURST.
Versiones afectadas: plataforma SolarWinds Orion, versiones 2019.4 HF 5, 2020.2 (sin ningún hotfix instalado), 2020.2 HF 1
Versión corregida: Plataforma SolarWinds Orion versión 2020.2.1 HF 2
Aunque las versiones troyanas de la Plataforma Orión de SolarWinds se han difundido ampliamente entre organizaciones públicas y privadas de todo el mundo, la información actual indica que la puerta trasera de SUNBURST fue utilizada para el espionaje por un estado nacional y sólo se usó para infiltrarse en un grupo selecto de víctimas. Otros daños colaterales ocurrieron al instalar las versiones troyanas de la Plataforma Orión de SolarWinds .
Para saber si estás afectado (más allá de comprobar las versiones instaladas de la Plataforma Orion de SolarWinds) comprueba los registros DNS consultando avsvmcloud[.]com o.digitalcollege[.]org (¡Incluyendo subdominios!).
Hornetsecurity no se ve afectada y no utiliza productos de SolarWinds.
Debido a que se trata de un incidente global en curso, comprueba los enlaces a los siguientes recursos para obtener información e imágenes actualizadas.

Resumen

El 13 de diciembre de 2020, FireEye reveló una puerta trasera en las actualizaciones de la Plataforma Orión de SolarWinds. Las organizaciones afectadas deben actualizar la versión corregida de manera inmediata.

La puerta trasera es parte de una operación de espionaje global y se utiliza para acceder a las redes del Gobierno y de empresas privadas de alto perfil.

Hornetsecurity evaluó su situación y no se ve afectada.

Antecedentes

La Plataforma Orion de SolarWinds es el líder del mercado de monitorización de redes, con más de 275.000 clientes en 190 países y proporcionando monitorización de redes a 400 de las empresas de la lista Fortune 500, el gobierno de EE.UU. y otras organizaciones de alto perfil.

El 13 de diciembre de 2020, FireEye reveló que durante el periodo comprendido entre el 01-03-2020 y 01-06-2020, las actualizaciones de la Plataforma Orión de SolarWinds fueron troyanizadas, por ello, lo llamaron la puerta trasera de SUNBURST.³ Previamente el 18-12-2020 FireEye reveló una brecha de seguridad en su propia organizaciónn,² para la que más tarde se identificó la actualización de la Plataforma Orión de SolarWinds como el vector de intrusión.

FireEye atribuye esta intrusión a un actor de amenaza aún desconocido que están rastreando como UNC2452. Aunque muchos medios de comunicación informan de esta intrusión atribuida al APT29, creemos que esto es incorrecto ya que el APT29 es un actor de amenaza designado por el propio FireEye pero aún así no lo han atribuido directamente al APT29.

El 14-12-2020 SolarWinds publicó un aviso de seguridad¹ en relación a este asunto.

Análisis técnico

La puerta trasera deSolarWinds.Orion.Core.BusinessLayer.dll del software de la plataforma de SolarWinds Orion, espera después de la instalación una cantidad entre 12 y 14 días – seleccionada al azar – antes de ejecutar su código malicioso. Intenta establecer una comunicación C2 usando un algoritmo de generación de nombres de dominio (DGA) to <ENCODED VICTIM HOSTNAME>.appsync-api.{eu,us}-{west,east}-{1,2}.avsvmcloud[.]com. El código <ENCODED VICTIM HOSTNAME> de la parte del subdominio contiene el nombre del host codificado de las víctimas. Puede ser decodificado usando una herramienta proporcionada por RedDrip7⁷

Los registros de subdominio correspondientes a los nombres de host de las víctimas a las que se dirigía la intrusión recibieron una respuesta DNS CNAME que los redirigió a uno de los dominios C2. Las víctimas que no eran el objetivo no recibieron un CNAME.⁶Aunque se trata de un ataque a gran escala a la cadena de suministro, la información actual indica que el propósito de la intrusión es el espionaje llevado a cabo por un estado nacional. Esto significa que mientras (según los archivos de la SEC de SolarWinds ⁸) alrededor de 18.000 víctimas instalaron las actualizaciones comprometidas, sólo una fracción muy pequeña fue realmente el objetivo de este ataque, el resto son daños colaterales.

En las organizaciones seleccionadas, la puerta trasera se utiliza como puente en la red de la organización, mediante la instalación de la TEARDROP y BEACON (del marco de Cobalt Strike) malware para infiltrarse aún más en la red.

Conclusión y medidas

A diferencia del ataque a la cadena de suministro contra el paquete de contabilidad fiscal ucraniano M.E.Doc, que dio lugar al incidente global de NotPetya en 2017, el objetivo de esta intrusión era el espionaje. Por lo tanto, sólo redes de objetivos seleccionados fueron instruidas a través de la puerta trasera de SUNBURST, del software comprometido de la Plataforma Orion de SolarWinds.

Las organizaciones que hayan instalado una versión de la Plataforma Orión de SolarWinds afectada deben tratar a todos los anfitriones monitoreados por la Plataforma Orión de SolarWinds como comprometidos, identificar todas las cuentas e infraestructuras controladas por los actores de la amenaza dentro de la organización y eliminarlas, y sólo entonces reconstruir la instalación de la Plataforma Orión de SolarWinds. Las organizaciones con requisitos de protección elevados pueden seguir la guía de la Directiva de Emergencia 21-01 del DHS⁴ (obviamente sin informar al CISA, a menos que la organización sea parte del gobierno de los EE.UU).

Un buen punto de partida para identificar la actividad de los actores de la amenaza es buscar los IoCs proporcionados por FireEye^3,5 en los registros DNS. En caso de que los DNS consulten a uno de los <ENCODED VICTIM HOSTNAME>.appsync-api.{eu,us}-{west,east}-{1,2}.avsvmcloud[.]com subdominios encontrados, puedes usar SunBurst DGA Decoder provided by RedDrip7⁷ para averiguar qué nombre de host, ejecutó tu red por puerta trasera SUNBURST. En caso de que encuentres respuestas CNAME a estas consultas DNS, esto significaría que además de ejecutar el código de puerta trasera, los actores de la amenaza están/estaban interesados en el host y elevaron la conexión a una conexión C2 completa. En este último caso, recomendamos contactar inmediatamente con un proveedor de respuesta a incidentes competente.

Aplaudimos a nuestros colegas de FireEye por sus minuciosas investigaciones.

Referencias

Indicadores de compromiso (IoCs)

Para una lista completa de IoCs y firmas de detección, por favor vea las contramedidas publicadas por FireEye: https://github.com/fireeye/sunburst_countermeasures

DNS

.avsvmcloud[.]com
.appsync-api.eu-west-1[.]avsvmcloud[.]com
.appsync-api.us-west-2[.]avsvmcloud[.]com
.appsync-api.us-east-1[.]avsvmcloud[.]com
.appsync-api.us-east-2[.]avsvmcloud[.]com
.digitalcollege[.]org

¡Indicadores conocidos solamente a partir del 16-12-2020! Por favor, para obtener información actualizada comprueba los recursos vinculados.

QakBot reduce sus dispositivos en el disco

por Security Lab | Dic 15, 2020 | Threat Research

Resumen

El QakBot ha sido actualizado con más técnicas de evasión. La configuración de QakBot se almacena ahora en una clave de registro en lugar de un archivo. La clave de ejecución para la persistencia no está permanentemente presente en el registro, sino que sólo se escribe justo antes de apagar o reiniciar, y se borra inmediatamente después de que QakBot se ejecuta de nuevo. El ejecutable de QakBot tampoco se almacena ya permanentemente en el sistema de archivos, sino que, de manera similar a la entrada de registro de la clave de ejecución, se deja caer en el sistema de archivos antes de reiniciar y se borra después. De esta manera el software de seguridad sólo puede detectar los artefactos de QakBot en el disco, justo antes de que el sistema se apague, y poco después del arranque del sistema. Sin embargo, en ese momento el software de seguridad en sí mismo se está apagando y arrancando, por lo tanto puede no detectar el nuevo método de persistencia del QakBot.

Otros cambios incluyen la decodificación dinámica justo a tiempo y la destrucción de cadenas en tiempo de ejecución. Así que cualquier cadena utilizada en el malware sólo se decodifica en tiempo de ejecución en la memoria y se destruye justo después.

El método de entrega de las campañas de QakBot observadas identificadas mediante el patrón de expresión regular de abc[0-9]+ sigue siendo documentos macro XLM como se informó anteriormente.

Antedecentes

QakBot (también conocido como QBot, QuakBot, Pinkslipbot) existe desde 2008. Se distribuye a través de Emotet, es decir, Emotet descargará QakBot en las víctimas que ya están infectadas con Emotet pero también se distribuye directamente por correo electrónico. Para ello, utiliza el secuestro de hilos de conversación por correo electrónico en sus campañas¹, ej:, responderá a los correos electrónicos que encuentre en los buzones de sus víctimas. Se sabe que el QakBot intensifica las intrusiones descargando el ransomware ProLock² o recientemente el ransomware Egregor.

Las campañas de QakBot observadas identificadas por el ID de la campañaabc usa documentos macro XLM para la infección. Anteriormente informamos sobre su baja detección.³

Una visión general de la actual cadena de infección utilizada por la campaña QakBot con identificadores que siguen el patrón de expresión regular de abc[0-9]+ se puede ver en el siguiente gráfico de flujo.

Análisis técnico

En el siguiente análisis analizamos brevemente la cadena de infección del QakBot después de haber sido descargado y lanzado por el documento malicioso de Excel.

Evasión

QakBot utiliza varias técnicas de evasión para evitar ser detectado por el software antivirus

Manipulación del encabezado de PE

Observamos algunas DLLs de QakBot con un encabezado PE manipulado. El siguiente mensage de texto This program cannot be run in DOS mode. ha sido alterado.

Esto parece un intento de eludir algunas reglas de detección estática que coinciden con este mensaje en el talón de MS-DOS de los binarios PE.

Firma del código

Primero, el DLL inicial descargado y ejecutado se firma con un certificado de firma de código válido (en el momento en que se distribuyó la muestra analizada).

$ chktrust 904400.jpg
Mono CheckTrust - version 6.8.0.123
Verify if an PE executable has a valid Authenticode(tm) signature
Copyright 2002, 2003 Motus Technologies. Copyright 2004-2008 Novell. BSD licensed.

WARNING! 904400.jpg is not timestamped!
SUCCESS: 904400.jpg signature is valid
and can be traced back to a trusted root!

El CA firmante es Sectigo y la organización se da como Aqua Direct s.r.o., que es una empresa ya existente.

$ osslsigncode verify 904400.jpg 
Current PE checksum   : 00091021
Calculated PE checksum: 00091021

Message digest algorithm  : SHA1
Current message digest    : 632DCB214EE9FB08441C640D240F672A7ABA6EB1
Calculated message digest : 632DCB214EE9FB08441C640D240F672A7ABA6EB1

Signature verification: ok

Number of signers: 1
    Signer #0:
        Subject: /C=CZ/postalCode=619 00/L=Brno/street=\xC5\xBDelezn\xC3\xA1 646/8/O=Aqua Direct s.r.o./CN=Aqua Direct s.r.o.
        Issuer : /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Code Signing CA

Number of certificates: 4
    Cert #0:
        Subject: /C=CZ/postalCode=619 00/L=Brno/street=\xC5\xBDelezn\xC3\xA1 646/8/O=Aqua Direct s.r.o./CN=Aqua Direct s.r.o.
        Issuer : /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Code Signing CA
    Cert #1:
        Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
        Issuer : /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
    Cert #2:
        Subject: /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
        Issuer : /C=GB/ST=Greater Manchester/L=Salford/O=Comodo CA Limited/CN=AAA Certificate Services
    Cert #3:
        Subject: /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Code Signing CA
        Issuer : /C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority

Succeeded

Se desconoce si el certificado se obtuvo de Sectigo dando información falsa, si el certificado fue robado de Aqua Direct s.r.o., o si el certificado se obtuvo de Sectigo dando información robada de Aqua Direct s.r.o..

Se sabe que QakBot roba los correos electrónicos de las víctimas y los utiliza en futuras campañas de malspam. Por lo tanto, es probable que también utilicen los datos de las víctimas robadas para obtener certificados de firma de código. Sin embargo, los actores detrás de QakBot también pueden comprar el certificado de firma de código de un tercero (malicioso).

Las cadenas sólo se decodifican en tiempo de ejecución

QakBot decodificará sus cuerdas sólo en tiempo de ejecución en la memoria. Después de su uso, las cadenas decodificadas son removidas de la memoria nuevamente.

Procesos

QakBot usa CreateToolhelp32Snapshot y Process32{First,Next}W y enumera los procesos que están ocurriendo.

Comprueba los siguientes procesos:

CcSvcHst.exe
avgcsrvx.exe
avgsvcx.exe
avgcsrva.exe
MsMpEng.exe
mcshield.exe
avp.exe
kavtray.exe
egui.exe
ekrn.exe
bdagent.exe
vsserv.exe
vsservppl.exe
AvastSvc.exe
coreServiceShell.exe
PccNTMon.exe
NTRTScan.exe
SAVAdminService.exe
SavService.exe
fshoster32.exe
WRSA.exe
vkise.exe
iserv.exe
cmdagent.exe
ByteFence.exe
MBAMService.exe
mbamgui.exe
fmon.exe

QakBot pondrá bits específicos en una máscara de bits para cada proceso en ejecución que encuentre. Dependiendo de la máscara de bits resultante, la ruta de infección posterior se altera, por ejemplo, si avp.exe se ha encontrado. QakBot inyectará posteriormente el código mobsync.exe en vez de explorer.exe. Debido a que los nombres de los procesos buscados están relacionados con soluciones de seguridad, creemos que de esta manera QakBot adapta su camino de ejecución para evadir la detección por parte de proveedores específicos.

Luego en otro bucle, de nuevo usando CreateToolhelp32Snapshot y Process32{First,Next}W, comprueba:

srvpost.exe
frida-winjector-helper-32.exe
frida-winjector-helper-64.exe

Si detecta alguno de esos procesos, el flujo de ejecución se ejecutará en un bucle que llamará continuamenteWaitForSingleObject(handle, 0x1fa) a handle generados previamente CreateEvent(NULL, FALSE, FALSE, ...), ejemplo: se ejecuta en un bucle infinito.

Controladores del dispositivo

A continuación, QakBot utiliza SetupDiGetDeviceRegistryPropertyA (consultando propiedades SPDRP_DEVICEDESC y SPDRP_SERVICE) para comprobar los controladores de los dispositivos que contienen las siguientes cadenas:

VBoxVideo
Red Hat VirtIO
QEMU
A3E64E55_pr

Creemos que la búsqueda der A3E64E55_pr se utiliza para detectar un artefacto del arenero ANY.RUN.⁴ Alternativamente, pero poco probable, podría utilizarse para detectar un artefacto de la desaparecida solución AV de protección compleja xCore, utilizando un controlador similar con el nombre A3E64E55_pr.sys.

Si detecta cualquiera de esos controladores de dispositivos, el flujo de ejecución se ejecutará en el mismo bucle infinito llamando continuamenteWaitForSingleObject(handle, 0x1fa) o handle generado previamente via CreateEvent(NULL, FALSE, FALSE, ...), como se ha mencionado previamente.

Proceso de inyección

QakBot comienza C:\Windows\SysWOW64\explorer.exe en estado suspendido e inyecta un DLL en él usandoCreateProcessInternalW, NtMapViewOfSection, NtAllocateVirtualMemory, WriteProcessMemory, memcpy, NtProtectVirtualMemory and NtResumeThread.

El DLL inyectado se puede extraer via PE-sieve⁵ u otras herramientas para un análisis posterior simplificado.

Dependiendo de si la enumeración del proceso anterior dio resultados en la lista, QakBot inyectará mobsync.exe (ejemplo en vcaso avp.exe el proceso siga en funcionamiento ) en vez de explorer.exe. Pero por simplificar usamos explorer.exe proceso de inyección que observamos en nuestro entorno de análisis.

Comunicación C2

Después de evitar la detección, el código QakBot inyectado dentro explorer.exe comenzará a comunicarse con los servidores C2.

Como en versiones anteriores de QakBot la lista de IP de C2 se almacena RC4 cifrado en la sección de recursos311. Los primeros 20 bytes de la sección contienen la clave RC4 con la que se descifra el resto de la sección. Los primeros 20 bytes de los datos descifrados contendrán la suma SHA1 calculada sobre el resto de los datos descifrados. Se utiliza como verificación para el descifrado correcto. A diferencia de la versión anterior, la lista C2 ahora se almacena en forma binaria y ya no como texto ASCII.

Para detalles sobre cómo extraer la lista de C2 y la configuración de QakBot ver el script Python3 en el apéndice. La entrada al script es el camino al DLL que QakBot inyectó en el explorer.exe, que previamente extraímos a través de PE-sieve⁵.

La configuración se almacena usando el mismo esquema de cifrado RC4 en la sección de recursos 308. En ella podemos ver el bot y/o el ID de campaña abc103 que está asociado a la muestra analizada. Todavía está almacenado en texto plano de ACSII. Para cada campaña el número se incrementa en uno. Esto permite a los operadores detrás del QakBot llevar un registro de a qué campaña pertenece cada víctima que se conecta a su servidor C2. Otro identificador actualmente observado es tr02. Este identificador, sin embargo, permaneció igual durante múltiples campañas de malspam.

A través de la conexión C2, los operadores detrás de QakBot pueden controlar remotamente el malware y desplegar módulos maliciosos adicionales.

El QakBot ya no almacenará su configuración y su lista C2 en el disco. Usará el registro para el almacenamiento. i

Borrado

La versión anterior de QakBot solía sobreescribir su ejecutable inicial con una copia decmd.exe. Esta versión sobrescribirá con ceros la parte de la DLL descargada inicialmente después del encabezado PE.

Aquí está la entropía del QakBot DLL tal como fue descargada.

La puesta a cero de los datos después del encabezado puede verse claramente cuando se compara el trazado anterior con un trazado del archivo DLL después del borrado.

Persistencia

El mecanismo de persistencia del QakBot también ha cambiado. Mientras que todavía utiliza una entrada de registro de clave de ejecución en HKCU\Software\Microsoft\Windows\CurrentVersion\Run, esta llave sólo se pone justo antes de que el sistema se apague, reinicie o se ponga a dormir. La DLL correspondiente también sólo se deja caer en el disco justo antes de que el sistema se apague, reinicie o se duerma

Después de que el sistema arranque de nuevo, el QakBot se inicia a través de la tecla de ejecución. El árbol de ejecución también se inicia mediante regsvr32.exe -s ... como la ejecución inicial de Excel. QakBot sigue los mismos pasos que se han descrito anteriormente, lo que resulta en la inyección del proceso enexplorer.exe.

QakBot entonces borrará la entrada del registro de la llave de ejecución y eliminará la DLL que dejó caer en el disco antes del reinicio.gistry entry and delete the DLL it dropped to disk prior to the reboot.

De esta manera la persistencia del QakBot no puede ser detectada en tiempo de ejecución.

Egregor

Aunque ya hemos informado anteriormente de que QakBot entregó el ransomware ProLock ,² los últimos informes indicaron que el QakBot se utiliza ahora para entregar el ransomware de Egregor. Anteriormente informamos sobre el ransomware Egregor como parte de un artículo sobre ransomware leaksites⁶ en la que explicamos la práctica de los operadores de ransomware que roban los datos de sus víctimas antes de cifrarlos para extorsionarlas no sólo con el descifrado sino también con la divulgación pública de los datos robados.

Conclusión y contramedidas

De nuestro análisis podemos concluir que QakBot está tratando de evitar los artefactos de archivos persistentes. En la versión anterior, la configuración y el ejecutable de QakBot se almacenaban permanentemente en el disco. Esto facilitó que las herramientas de seguridad los detectaran. La nueva versión trata de evitar dejar permanentemente sus artefactos en el disco. Aunque el QakBot no se queda sin archivos, sus nuevas tácticas seguramente disminuirán su detección.

Pero aunque el QakBot ha cambiado, el mecanismo de entrega detrás de la campaña QakBot «abc[A-Z]+» no lo hizo.

El servicio Spam and Malware Protection, con las tasas de detección más altas del mercado, ya detecta y bloquea la amenaza esbozada.

El servicio Advanced Threat Protection amplía esta protección detectando también amenazas aún desconocidas.

Referencias

Indicadores de compromiso (IOCs)

Hashes

Los hashes de las muestras de QakBot analizadas son:

MD5	Nombre del archivo	Descripción
`6bc0584f6cbb74714add1718b0322655`	`904400.jpg`	QakBot DLL as downloaded by XLM macro
`e23bc27212f61520cfb130185d74cfb1`	`26e0000.dll`	Extracted QakBot DLL

MITRE ATT&CK

Las tácticas y técnicas utilizadas por QakBot, tal como se definen en el marco de MITRE ATT&CK, son las siguientes:

Apéndice

Extracción de la configuración de Qakbot Script de Python

import sys
import pefile
from arc4 import ARC4

pe = pefile.PE(sys.argv[1])
c2list = []
for entry in pe.DIRECTORY_ENTRY_RESOURCE.entries:
    for e in entry.directory.entries:
        n = e.name.string.decode()
        data = pe.get_data(e.directory.entries[0].data.struct.OffsetToData, e.directory.entries[0].data.struct.Size)
        data = ARC4(data[:20]).decrypt(data[20:])[20:]
        if n == '311':
            for i in range(1,len(data),7):
                c2 = list(data[i:i+6])
                c2list.append("%d.%d.%d.%d:%d" % (c2[0],c2[1],c2[2],c2[3],(c2[4]<<8)+c2[5]))
        elif n == '308':
            config = data.decode().split()
print("# QakBot Config\n\n```\n" + "\n".join(config) + "\n```\n")
print("# QakBot C2\n\n```\n" + "\n".join(c2list) + "\n```\n")

Tendencias en las técnicas de phishing

por Security Lab | Nov 26, 2020 | Threat Research

Resumen

La idea básica del phishing no ha cambiado desde los años 90, sin embargo, las tácticas y técnicas de entrega están en constante evolución. En este artículo se esbozan las tendencias actuales de las técnicas de phishing. Entre ellas se incluyen el abuso de servicios legítimos de alojamiento de archivos, geovallas, la carga automática del logo de la empresa y/o del proveedor de correo electrónico de la víctima en el sitio web de phishing y la solicitud de la contraseña a la víctima varias veces.

Estas tácticas tienen como objetivo eludir la detección y atraer a más víctimas para que introduzcan sus credenciales de inicio de sesión en los sitios web de phishing.

Antecedentes

Los actores malintencionados utilizan correos electrónicos de phishing para obtener acceso a las credenciales de inicio de sesión de la víctima, engañándola para que introduzca voluntariamente su contraseña en un formulario de inicio de sesión falso. El inicio de sesión falso se realiza a través de un sitio web de phishing. Los correos electrónicos de phishing incluyen el enlace al sitio web de phishing.

El phishing como técnica de ataque se conoce desde los años ochenta. El nombre se origina en una herramienta de intrusión informática llamada AOHell, que incluía una herramienta «fisher», que enviaba a los usuarios de la mensajería instantánea de AOL el siguiente mensaje:

Hola, este es el servicio de atención al cliente de AOL. Estamos haciendo un control de seguridad y necesitamos verificar su cuenta. Por favor, introduzca su nombre de usuario y contraseña para continuar.

La ortografía de «phishing» con «ph» en lugar de «f» proviene de un error ortográfico intencional usado en la jerga de la subcultura de la tecnología de los años 60 y 70.

Se originó a partir del término «phreak», que significa «monstruo del teléfono», que en ese momento era un término de la jerga de la subcultura hacking para la gente que exploraba y experimentaba con las primeras redes telefónicas. Así se formó el término «phishing» tal como lo conocemos hoy en día.

Análisis de las tendencias actuales en las técnicas de phishing

La mayoría de los correos electrónicos de phishing contienen un enlace a un sitio web con un formulario de inicio de sesión falso. Sin embargo, existen algunas excepciones, por ejemplo, anteriormente informamos sobre un esquema de phishing que envía todo el código fuente HTML del sitio web de phishing adjunto al correo electrónico¹.

Los correos electrónicos utilizan diferentes señuelos para hacer que la víctima visite el enlace, por ejemplo, simulando que se puede descargar un archivo a través del enlace, como se puede ver en el siguiente ejemplo de correo electrónico de phishing:

Al visitar el enlace, la víctima potencial es enviada al sitio web de phishing.

A continuación, se describen las tácticas y técnicas que los actuales ataques de phishing utilizan para evadir la detección y atraer incluso a víctimas precavidas a su estafa.

Abuso de los servicios legítimos de hospedaje de archivos

Los phishers alojan partes de su kit de phishing en servicios de alojamiento de archivos legítimos para evadir los sistemas de detección y crear confianza con sus víctimas. De esta forma, el enlace del correo electrónico incluirá un nombre de dominio de un servicio legítimo conocido, en el que confían millones de personas.

El siguiente ejemplo muestra un kit de phishing alojado en la plataforma Firebase de Google:

El abuso de los servicios de alojamiento de archivos, como Google Docs, Google Drive, Microsoft SharePoint y otros, no es nada nuevo. Anteriormente informamos sobre el uso indebido de los servicios de alojamiento de archivos por parte de los cibercriminales para propagar malware. Sin embargo, el número de ciberataques de phishing que dependen de los proveedores de almacenamiento en la nube ha aumentado considerablemente.

El problema para las víctimas potenciales es que algunos de estos servicios de alojamiento de archivos a veces piden legítimamente a los visitantes que se registren para ver el contenido. Esto significa que una víctima potencial es atraída a un sitio web que sabe que a veces le pedirá que se registre, lo que requiere una gran vigilancia para no caer en estafas de phishing mediante esta táctica.

Debido a que los servicios de alojamiento de archivos legítimos son utilizados por muchas personas con fines legítimos, sus dominios y URLs generalmente tienen una buena reputación. Esto hace que sea difícil distinguir entre los correos electrónicos que contienen enlaces de servicios de alojamiento de archivos legítimos y los que son maliciosos.

Además, algunos servicios de alojamiento de archivos utilizan CAPTCHAs para evitar la recuperación automática del contenido alojado, lo que significa que los mecanismos de seguridad automatizados no pueden escanear el contenido alojado en busca de artefactos maliciosos.

Irónicamente, a veces también encontramos que el phishing de un proveedor concreto está alojado en la infraestructura de ese mismo proveedor, por ejemplo, el siguiente sitio de phishing que se hacía pasar por Microsoft estaba alojado en la plataforma Azure de Microsoft:

El acceso a la cuenta necesaria para utilizar estos servicios legítimos de hospedaje de archivos suele obtenerse a través de la propia actividad de phishing, creando así un mecanismo de phishing autosuficiente o self-sustaining phishing machinery.

Redirección

Con el fin de complicar el análisis, los actores de los programas maliciosos suelen utilizar múltiples sitios web intermedios que redirigen a sus víctimas al sitio web final controlado por los atacantes. De esta forma, no basta con bloquear el sitio web final de phishing, ya que en los correos electrónicos sólo se ve la primera URL de redirección. Si los atacantes logran impedir que los sistemas de escaneo automatizado sigan las redirecciones, por ejemplo, combinando esta técnica con el geo-cercado o geo-fencing un CAPTCHA, entonces estos sistemas automatizados no detectarán que una víctima será redirigida a un sitio de phishing. Hemos observado esta técnica utilizada por TA505,3 y otros actores de amenazas para la distribución de malware.

En el caso de los correos electrónicos de phishing, las redirecciones pueden ser documentos alojados en servicios de alojamiento de archivos, que proporcionan a la víctima otro enlace a la página final de phishing. La página de phishing a menudo pretende que el usuario deba proporcionar sus credenciales de acceso para ver el documento en el que acaba de hacer clic. Se trata de un señuelo plausible, porque después de todo la víctima hizo clic en un enlace para ver un documento y es común que los servicios de alojamiento de archivos pidan al usuario que se identifique para acceder a los archivos.

De esta manera la única URL observable en los correos electrónicos de phishing son los redireccionamientos intermedios.

El siguiente ejemplo es un documento de redireccionamiento de phishing alojado en OneDrive:

Cuando la víctima hace clic en el documento supuestamente vinculado, es redirigida a una página de phishing que se hace pasar por la página de inicio de sesión de Microsoft SSO:

Geo-fencing o geovallas

Otra técnica para obstaculizar el análisis de los sitios web de phishing es el geo-fencing o geovallas. Con este fin, el sitio web de phishing, o a veces un sitio web que redirige a la víctima a un destino específico, comprobará la dirección IP del visitante. Sobre la base de estas comprobaciones, las víctimas cuyas direcciones IP estén geo-localizadas en la lista de países objeto del timo de phishing específico podrán ver el sitio web de phishing; otras solicitudes suelen ser remitidas a un sitio web benigno.

El siguiente es un ejemplo de una estafa de phishing contra Raiffeisen ELBA, un banco austriaco:

Este sitio de phishing sólo está disponible para los visitantes que utilicen una dirección IP geolocalizada en Austria. Cualquier visitante de otros países es redirigido al sitio web legítimo de Raiffeisen ELBA. Por lo tanto, el geovallado o geo-fencing complica el análisis automatizado.

Logotipo de señuelo adaptable

Algunos sitios web de phishing no se hacen pasar por una empresa o servicio específico. Más bien se adaptan a las expectativas de la víctima. Para ello, añadirán dinámicamente logotipos de la empresa y/o del servicio en su formulario de acceso, basándose en la dirección de correo electrónico de la víctima.

Por ejemplo, si John Doe recibe un correo electrónico de phishing en su buzón test@example.com, la URL del correo electrónico de phishing contendrá esta dirección de correo electrónico como un parámetro HTTP GET. Al visitar el sitio web de phishing a través de este enlace, la dirección de correo electrónico se envía automáticamente al kit de phishing a través de este parámetro GET. El sitio web de phishing no sólo rellenará previamente el campo de correo electrónico del formulario de inicio de sesión con esta dirección de correo electrónico, sino que también obtendrá el favicon del nombre de dominio de la dirección de correo electrónico mediante el siguiente enlace proporcionado por Google:

https://www.google.com/s2/favicons?domain=example.com

El favicon se muestra sobre el formulario de acceso falso como se indica a continuación:

Dado que la mayoría de los dominios también albergan sitios web con un favicon, esta técnica funciona prácticamente contra todos los nombres de dominio de correo electrónico.

Por ejemplo, funciona contra los populares proveedores de correo electrónico gratuito:

Pero también funcionará en contra de los nombres de dominio de las empresas, como se puede ver aquí, usando nuestro propio nombre de dominio:

También observamos los kits de phishing que fotografiaron el sitio web detrás del dominio de correo electrónico de la víctima y lo mostraron como imagen de fondo detrás del formulario de inicio de sesión falso:

Todas estas técnicas ayudan a los atacantes a hacer que su sitio de phishing parezca más familiar a las víctimas.

Pedir la contraseña varias veces

Los modernos equipos de phishing le pedirán a la víctima la contraseña varias veces. Aunque esto no es nada nuevo y ya hemos informado sobre esta técnica,¹ observamos cada vez más kits de phishing que utilizan esta técnica.

Es probable que esta técnica funcione para evitar un esquema de protección que algunos usuarios han ideado para protegerse contra el phishing. Algunos usuarios creen que los sitios web de phishing siempre aceptarán cualquier contraseña. Por lo tanto, se puede detectar un sitio web de phishing introduciendo una contraseña incorrecta. Un sitio web de phishing aceptará la contraseña incorrecta, mientras que el sitio legítimo la rechazará por ser incorrecta. Sin embargo, esta suposición es incorrecta.

A continuación, se muestra un kit de phishing que pide la contraseña a la víctima tres veces:

It does not matter what the victim enters, the entry is always rejected three times. Afterwards the victim is redirected to the website running on the domain name used in the email address. This is a good segue into the next tactic.

Transición al sitio web original

Todo buen atraco necesita una buena escapada. También un buen equipo de phishing. Idealmente, después de introducir sus credenciales de acceso, las víctimas no deberían notar que han sido engañadas y por lo tanto no deberían cambiar sus credenciales de acceso. Para ello, los kits de phishing suelen redirigir al sitio web legítimo que están fingiendo. Así que en caso de que el usuario ya haya iniciado sesión, asumirán que acaba de hacerlo con éxito. Otra táctica es redirigir a un documento falso no malicioso.

Maquinaria de phishing autosuficiente

Por último, pero no menos importante, observamos varias campañas de phishing que son autosuficientes. Para ello, las credenciales de acceso robadas serán utilizadas para enviar correos electrónicos de phishing desde la cuenta de la víctima. También observamos que las credenciales robadas se utilizan para comprometer las cuentas de Sharepoint para alojar la infraestructura de phishing en ellas. Aunque no se puede observar directamente, estamos seguros de que las credenciales robadas también se utilizan para colocar la infraestructura de phishing en servicios de alojamiento de archivos legítimos, utilizando las cuentas de las víctimas de phishing.

El tiempo entre el compromiso de la cuenta y el uso de las cuentas era a veces tan corto como varias horas. Sin embargo, las credenciales de inicio de sesión robadas más comúnmente se utilizan en la siguiente campaña de phishing. Por lo tanto, es muy importante que las víctimas, o incluso las víctimas potenciales, cambien rápidamente sus contraseñas si tienen alguna sospecha de que pueden haber introducido sus credenciales de inicio de sesión en un sitio de phishing. Esto se debe a que, aunque observamos que algunas de las credenciales robadas se utilizaron para perpetuar la estafa del phishing, es probable que otras credenciales de inicio de sesión se utilicen en otras intrusiones, como los ataques de rescate.

Conclusión y soluciones

Aunque la idea básica del phishing no ha cambiado desde los años 90, las tácticas y técnicas están en constante evolución. A partir de las técnicas descritas podemos recomendar las siguientes contramedidas:

Los usuarios no deben confiar automáticamente en los servicios de alojamiento de archivos legítimos conocidos, como Google Docs, Microsoft SharePoint, OneDrive, etc., porque se abusa de ellos para alojar infraestructuras de phishing maliciosas. Los usuarios deberían utilizar administradores de contraseñas que sólo rellenen sus credenciales de acceso en los formularios de acceso correspondientes. Para ello, los administradores de contraseñas suelen comprobar el nombre de dominio y, por lo tanto, evitan que se rellenen las credenciales de acceso en formularios de acceso alojados en sitios web impostores. Pero lo más importante es que los usuarios activen el 2FA siempre que sea posible. Hemos visto ataques de phishing con códigos QR para aplicaciones bancarias 2FA. Esto significa que los actores del phishing son conscientes de la 2FA e intentarán obtener los códigos 2FA siempre que sea necesario y posible. Por lo tanto, un segundo factor con el que no se puede hacer phishing, como un token U2F, es preferible.

Por último, pero no por ello menos importante, los filtros de protección de Hornetsecurity Spam and Malware Protection y Advanced Threat Protection también están mejorando constantemente para mantenerse al día de las últimas amenazas.

Referencias

« Entradas más antiguas

Entradas siguientes »