El equipo de inteligencia de amenazas de Palo Alto Networks, Unidad 42, descubrió una nueva variante de malware de criptojacking llamado Black-T, del grupo de amenazas TeamTnT. Evidenciando un cambio en las tácticas, técnicas y procedimientos (TTP) para las operaciones que apuntan a archivos de credenciales de AWS en sistemas de nube comprometidos y minas para Monero.
Criptojacking
El malware criptográfico generalmente infecta computadoras y usa la potencia informática obtenida ilícitamente para extraer criptomonedas. Estos ataques, conocidos como criptojacking, son bastante comunes y se implementan en redes informáticas individuales y empresas enteras.
Grupo de amenazas TeamTnT
TeamTnT es un grupo de criptojacking centrado en la nube que tiene como objetivo las API de “Docker daemon” expuestas. Al respecto, la Unidad 42 de Palo Alto Networks, dijo:
“El grupo de actores de TeamTnT, es muy oportunista y no discriminan a quién se dirigen. De acuerdo al registro de víctimas evidenciado a la fecha, pareciera que están más interesados en robar tantos procesos computacionales como puedan, en lugar de apuntar a sectores específicos".
Malware Black-T
Los investigadores de la Unidad 42 observaron que los TTP tradicionales de TeamTNT son apuntar a las API expuestas de "Docker daemon", junto con realizar operaciones de escaneo y cryptojacking en sistemas vulnerables de múltiples organizaciones para posteriormente generar persistencia ocn la instalación de Black-T.
El código del malware muestra que tiene capacidades mejoradas.
- Focalización y detención de gusanos de criptojacking presentes en los sistemas. Esto significa que Black-T focaliza sus esfuerzos de infección en computadoras que ya albergan algún malware de minería, posteriormente, de forma automática ataca esos archivos, los deshabilita y luego instala su propio programa de criptojacking.
- Black-T utiliza una herramienta maliciosa llamada "Mimikatz" para extraer contraseñas en texto plano de los sistemas operativos Windows, según el informe. La herramienta también permite a los atacantes secuestrar las sesiones de los usuarios, como interrumpir el uso de la computadora cuando un usuario está activo.
- Black T puede extender las operaciones de criptojacking de TeamTNT mediante el uso de tres herramientas de escaneo de red diferentes, logrando identificar API de Docker daemon adicionales que estén presentes en la red local del sistema comprometido, así como en cualquier cantidad de redes de acceso público.
- Si bien el grupo ha utilizado anteriormente escaneadores de puertos de código abierto como masscan y pnscan, que son compatibles principalmente para sistemas operativos Linux, Windows, Mac OS X y FreeBSD, se ha implementado una tercera herramienta llamada zgrab, lo cual es una novedad debido a que es la primera vez que se incluye una herramienta escrita en GoLang en el arsenal de TeamTNT.
Panorama
La pandemia mundial ha acelerado todos los procesos digitales de forma vertiginosa, una vez más vemos la innovación de los ciberactores y rapidez con que aprovechan comprometer nuevos recursos a través de la explotación de diversos escenarios tal como se puede apreciar con este tipo de ciberoperaciones en la nube. En el corto plazo veremos evolucionar el malware centrado en la nube utilizando técnicas más sofisticadas, por lo que es imperativo tener una visión de seguridad con más perspectiva respecto al resguardo de los procesos de digitalización.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
- Asegúrese de que los entornos en la nube no expongan las API de "Docker daemon" ni ningún otro servicio de red.
- Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
- Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
- Actualizar los equipos con Windows a las últimas versiones.
- Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
- Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
- Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.