Se ha evidenciado una nueva campaña de malware, que se ha expandido rápidamente, encabezada por Purple Fox quien ha implementado nuevas capacidades de gusano que le permiten poder infectar a un mayor número de dispositivos en poco tiempo.
Purple Fox
Purple Fox es un malware que fue detectado por primera vez en 2018 caracterizándose por depender de kits de explotación y correos electrónicos de phishing para propagarse. Comenzó como un programa malicioso de descarga y luego pasó a Windows PowerShell para entregar y recuperar malware. Trae además consigo capacidades de rootkit y backdoor. En sus inicios logró infectar más de 30,000 dispositivos.
A la fecha, una nueva campaña que se llevó a cabo durante las últimas semanas, y que sigue en curso, ha revelado un nuevo método de propagación que conduce a un alto número de infecciones por parte de Purple Fox posicionándolo nuevamente en la mira dentro del panorama de amenazas.
Campaña evidenciada
Investigadores de Guardicore Labs dijeron que Purple Fox ahora se está difundiendo a través de "exploración de puertos indiscriminados y explotación de servicios SMB expuestos con contraseñas débiles y hashes".
Características de ataque:
- El malware se dirige a las máquinas de Microsoft Windows y reutiliza los sistemas comprometidos para alojar cargas útiles maliciosas, muchos de los cuales ejecutan versiones anteriores de Windows Server con Internet Information Services (IIS) versión 7.5 y Microsoft FTP.
- Las cadenas de infección pueden comenzar a través de servicios de Internet que contienen vulnerabilidades, como SMB, exploits del navegador enviados a través de phishing, ataques de fuerza bruta o implementación a través de rootkits, incluido RIG.
- Hasta el momento, los operadores de botnets de Purple Fox han secuestrado cerca de 2.000 servidores.
- El instalador MSI del malware se disfraza como un paquete de Windows Update con diferentes hashes, una característica que el equipo llama una forma "barata y sencilla" de evitar que los instaladores del malware se conecten entre sí durante las investigaciones.
- En total, se extraen y descifran tres cargas útiles. Uno manipula las capacidades del firewall de Windows y se crean filtros para bloquear varios puertos, potencialmente en un intento por evitar que el servidor vulnerable se vuelva a infectar con otro malware.
- También se instala una interfaz IPv6 con fines de escaneo de puertos y para "maximizar la eficiencia de las subredes IPv6 extendidas (generalmente no monitoreadas)".
- Purple Fox se carga en una DLL del sistema para su ejecución en el arranque.
- Purple Fox generará rangos de IP y comenzará a escanear en el puerto 445 para propagarse.
Panorama
Se ha evidenciado cómo el malware Purple Fox ha realizado un nuevo esfuerzo y método de infección dirigido a computadoras Windows con contraseñas débiles, lo que le da al malware un punto de apoyo para propagarse más rápidamente.
El hecho de que sea un ataque oportunista que escanea constantemente Internet y busca máquinas más vulnerables es probable que permita a estos ciberactores incorporar más dispositivos a su botnets que a menudo se utilizan para lanzar ataques de denegación de red para golpear organizaciones con tráfico basura con el objetivo de dejarlas fuera de línea o también utilizarlas para difundir malware y spam en las computadoras infectadas.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
- Monitorear el tráfico por puerto 445 tanto con acción pass como block a fin de detectar peaks de conexiones que puedan validar comportamiento anomalo
- Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
- Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
- Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
- Actualizar los equipos con Windows a las últimas versiones.
- Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
- Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
- Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
- Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
- Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.