Panorama malware primer trimestre 2021

Con el aumento de la dependencia de las comunicaciones digitales, Internet se convirtió casi instantáneamente en el canal para la interacción humana efectiva y la principal forma para solventar las interacciones sociales tanto en lo laboral como lo personal. Este aumento en tecnología ha permitido la proliferación de programas maliciosos que buscan infectar nuestros equipos, con intenciones ilícitas. 

El malware ha pasado a representar una peligrosa fauna cibernética, donde destacan algunos por su capacidad disruptiva, otros por la capacidad de comprometer muchas víctimas en cortos periodos de tiempo y otros por el tipo de daño reputacional que infringen. Por esto, como parte de la actualización constante de nuestros panoramas es que queremos destacar las variantes de malware más connotadas durante los primeros meses de 2021 a nivel global:

Descripción: Dridex es un troyano bancario que ha permanecido desde 2012 activo con distintas variantes.

Características:

• Desarrollado y distribuido por el grupo EVIL CORP para automatizar el robo de información personal y financiera.
• Variante mejorada del troyano anteriormente conocido como Bugat, Cridex, Geodo y Feodo.
• Si bien Dridex es un troyano bancario, sus operadores, conocidos como 'Evil Corp', lo utilizan para robar credenciales o presentar a las víctimas inyecciones web.
• Es empleado como una herramienta grupal de bots convirtiéndolo en un poderoso ladrón de información.
• Persistente infectante de dispositivos, evidenciado formando parte de ataques de ransomware de alto riesgo como BitPaymer y DoppelPaymer.

Vectores de ataque:

• Exploits de día cero
• Archivos adjuntos maliciosos en campañas de phishing.

• En abril de 2021 se evidencian nuevas botnets Dridex distribuidas mediante campañas de malspam donde los componentes del cargador Dridex contenían cambios menores en el esquema de cifrado de cadenas Dridex.
• La longitud de la clave Rivest Cipher 4 (RC4) para los componentes del núcleo y del cargador se aumentó de 40 a 48. 

Más información sobre Dridex  

Descripción: Nanocore es una herramienta de acceso remoto (RAT) lanzada por primera vez en 2013.

Características:

• NanoCore es un malware que se comercializa en foros clandestinos por un precio de 20 dólares.
• Ejecutable de Windows que inicia el servidor de comando y control (C2) y el generador de muestras crea un binario Nanocore con la configuración deseada.
• NanoCore también es un troyano modular que se puede modificar para incluir complementos adicionales, ampliando su funcionalidad y rendimiento en función de las necesidades del usuario.
• Nanocore brinda minería de criptomonedas, uso compartido de pantalla, robo de archivos y contraseñas y funcionalidad de registrador de teclas.
• Utiliza un mecanismo de persistencia.
•  Cifra la comunicación del controlador.
•  Admite la escalada de privilegios.

Vectores de ataque:

• Campaña de malspam
• Suplantación de identidad: se envía un correo electrónico con un archivo adjunto malicioso a la víctima

• Una versión más reciente del malware (NanoCore 1.2.2.0) cuando se ejecuta crea copias de sí mismo en la carpeta AppData e inyecta su código malicioso en el proceso RegSvcs.exe.

Más información sobre NanoCore  

Descripción: Remcos es un software de vigilancia y control remoto. Se anuncia como una herramienta extensa y poderosa para administrar una o varias computadoras de forma remota.

Características:

• Debido a la facilidad de adquirir la herramienta de acceso remoto (RAT), diversos actores utilizan una amplia gama de versiones.
• Descarga y ejecuta cargas útiles adicionales
• Inicia el proxy SOCKS
• Permite el acceso remoto
• Registra las pulsaciones de teclas
• Hace capturas de pantalla
• Hace screencasts
• Hace fotos con la webcam
• Roba datos del formulario del navegador
• Roba archivos del disco o de los recursos compartidos de la red
• Roba credenciales almacenadas

Vectores de ataque:

• Campaña de malspam
• Utiliza un mecanismo de persistencia
• Cifra la comunicación del controlador

• Recientemente malware Remcos ha sido evidenciado en una campaña que hace uso de Microsoft Build Engine para generar y distribuir malware sin fichero (fileless malware), utilizando elementos y funcionalidades del sistema operativo. El malware sin fichero suele utilizar una aplicación legítima para cargar el código malicioso embebido en ella en la memoria, desde donde se ejecuta sin afectar el sistema de archivos y sin dejar rastros de infección en el sistema.

Descripción: QBot, también conocido como QakBot o PinkslipBot, es un ladrón de información modular que surgió en 2007

Características:

• Su objetivo principal es recuperar información bancaria de usuarios infectados, pero también es capaz de descargar y ejecutar muestras de malware adicionales.
• El malware también está equipado con capacidades de auto propagación para replicarse a través de redes internas.
• QBot utiliza múltiples capas de proxies de front-end para ocultar los servidores de comando y control reales.
• QBot usa plug and play universal (UPnP) para abrir puertos, lo que permite que las conexiones entrantes de cualquier persona en Internet se comuniquen con la máquina infectada.
• Las infecciones de QBot pueden conducir a un ataque de ransomware dirigido más disruptivo.

Vectores de ataque:

• QBot no contiene exploits en su código para aprovechar errores conocidos o vulnerabilidades de día cero, pero usa tareas programadas para intentar ejecutarse como la autoridad del sistema.
• Qbot está utilizando paquetes de inyección web ofrecidos por varios proveedores.

• En el mes de febrero de 2021, se observó un aumento en la actividad de QBot. viéndose asociado con implementaciones de ransomware Egregor y ProLock.

En tiempos de pandemia los dispositivos móviles se utilizan más que nunca para acceder sistemas corporativos, tanto para tareas rutinarias como críticas. Esto ha extendido enormemente la superficie de ataque e hizo que el dispositivo móvil fuera más susceptible a las amenazas cibernéticas como las estafas de phishing, aplicaciones, ataques man-in-the-middle, rootkit y más, haciendo de la seguridad móvil robusta un imperativo empresarial para reducir la superficie de ataque.

El panorama del malware móvil en este comienzo del año 2021 está dominado porMalware de Android, que se explica en base a que posee la mayor cantidad de usuarios.

El vector de acceso inicial suele ser a través de aplicaciones troyanizadas, como juegos o utilidades que están disponibles en tiendas de aplicaciones de terceros.

La recomendación para este vector es que los usuarios de Android solo deben descargar aplicaciones de confianza con desarrolladores y tiendas de aplicaciones verificadas.

Además, las organizaciones que permitan a sus empleados llevar sus propios dispositivos personales a su lugar de trabajo (BYOD) para tener acceso a recursos de la empresa, deben establecer claramente reglas para garantizar que los empleados minimizan el riesgo de descargar malware que podría suponer un riesgo para los datos empresariales.

Malware móvil más prevalente

• xHelper: Aplicación maliciosa vista en estado salvaje desde marzo de 2019 utilizada para descargar otras aplicaciones maliciosas y mostrar publicidad. La aplicación es capaz de ocultarse del usuario y puede reinstalarse en caso de que se desinstale.
• Triada: Modular Backdoor para Android que otorga privilegios de super usuario al malware descargado.
• Hiddad: Malware de Android que vuelve a empaquetar aplicaciones legítimas y luego las libera en una tienda de terceros. Su función principal es mostrar anuncios, pero también puede obtener acceso a detalles clave de seguridad integrados en el sistema operativo.

Vulnerabilidades en Android

Android en su actualización de mayo emito notas de seguridad referente a 4 vulnerabilidades que estarían siendo explotadas. Las cuatro vulnerabilidades podrían permitir a los ciberactores tomar el control completo de un dispositivo Android, y todas ellas afectarían el código de firmware de la GPU.

"Hay indicios de que CVE-2021-1905, CVE-2021-1906, CVE-2021-28663 y CVE-2021-28664 pueden estar bajo explotación limitada y dirigida", dijo Google en una nota destacada.

Los teléfonos Android que usan GPU de la marca ARM o Qualcomm son los únicos afectados por la vulnerabilidad. Google guarda silencio de los detalles de esta vulnerabilidad llamando a los usuarios de Android a descargar la actualización de seguridad de mayo de 2021 que corrige estas vulnerabilidades tan pronto como esté disponible.

Tipos de archivos adjuntos utilizados en correo electrónico maliciosos

El año 2020, los archivos de documentos de Microsoft fueron nominados como la categoría más grande de archivos adjuntos maliciosos, con macros integradas y otros que actúan como descargadores de malware de segunda etapa.

Gran parte de estas tendencias eran atribuibles a la botnet Emotet, antes de su intervención por parte de organismos de seguridad. Emotet cambiaba sus mecanismos de entrega a lo largo del tiempo para lograr una mayor distribución, durante la primera parte del 2021 estas tendencias se mantienen, pero en menor medida.

El siguiente gráfico muestra los tipos de archivos adjuntos maliciosos enviados por correo electrónico en 2020:

Tipos de empaquetados para los archivos de almacenamiento.

Esta figura muestra los tipos de archivos empaquetados de almacenamiento más comunes utilizados para archivos adjuntos maliciosos en 2020

RAR, ZIP e ISO, son los tres principales tipos de archivos maliciosos utilizados en el 2020. 

Emotet

En enero de 2021 el malware Emotet, que ha sido catalogado como el más peligroso del mundo según datos de la RCMP, fue interrumpida por una operación policial internacional la cual informamos oportunamente en nuestro boletín: Eliminación de Emotet por Operación Policial Internacional.

Emotet se ha ido, por ahora, pero los ciberdelincuentes a menudo reinician sus operaciones después de tales contratiempos con diferentes nombres y es así como algunos malware recientemente aparecidos con fuertes campañas durante este 2021 se les ha comparado con Emotet, pero no se han mantenido en el tiempo. Dentro del panorama de malware no se descarta el surgimiento de una botnet similar a futuro.

Trickbot

Trickbot comenzó como un troyano bancario avanzado utilizado para recopilar credenciales de los sistemas de las víctimas y el año 2020 se había convertido en un descargador de malware multipropósito y una de las redes de bots más grandes del mundo. Trickbot, fue relacionado con campañas de Emotet, Ryuk y Conti.

Para octubre de 2020, la amenaza de Trickbot fue intervenida por una coalición de empresas de ciberseguridad liderada por Microsoft que provocaron el derribo global contra la botnet Trickbot, eliminando el 94% de la infraestructura C2 de Trickbot. Sin embargo a fines 2020 y comienzos del 2021 se pudo observar a Trickbot reconstruyendo su infraestructura lo que lo ha hecho merecedor de estar dentro de los ranking en los panoramas de amenazas.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.