CLM y Picus analizan cinco ciberamenazas

Los nuevos grupos y familias de malware requieren agilidad en respuesta y resaltar la necesidad de simular violaciones en los sistemas de protección.

Es otro mes agitado para los CISOS, el informe de Picus Security, solución pionera en protección de ataques (BAS – Breach and Attack Simulation), muestra el surgimiento de campañas de ataques cibernéticos provocadas por nuevos grupos de hackers y familias de malware.

Entre los más significativos se encuentran: Ransomware Maui, que utiliza un método de cifrado híbrido que involucra AES, cifrado RSA y codificación XOR que aumenta su impacto; Green Stone Malware Dropper, que envía documentos abiertos XML, la cual contiene una macro maliciosa que descomprime y funciona en un ejecutable, con recursos de espionaje, en un directorio temporal, que evita su detección por la mayoría de los antivirus.

El Ransomware HavanaCrypt fue uno más que apareció en julio de 2022. Se disfraza de una aplicación legítima de Google Software y utiliza una dirección IP que pertenece a un servicio de alojamiento de Microsoft como su servidor C2 para evitar la detección. Otro ataque fue el de un ransomware que utiliza el método de doble extorsión: roba los datos confidenciales, encriptándolos y liberando una nota de rescate con una dirección de chat en Browser Tor, los más utilizados para acceder a DeepWeb (y por lo tanto DarkWeb).

El Ransomware H0lyGh0st, aunque ha estado actuando desde 2021, está nuevamente vigente con una variante de malware más persistente y mejorado, el BTLC.exe.

«Sin la resiliencia cibernética, las empresas, las entidades gubernamentales y otras organizaciones seguramente se convertirán en las próximas víctimas de ransomware y muchos otros ataques cibernéticos, como hemos visto en todo el mundo», advierte Tom Camargo, VP de CLM, distribuidor latinoamericano de valor agregado enfocado en seguridad de la información, protección de datos, infraestructura para data centers e cloud.

Para el ejecutivo de CLM, que distribuye la tecnología PICUS en América Latina, en este escenario extremadamente dinámico y marcado por la aparición de nuevos grupos ciber criminales, actuando con nuevas formas de ataque, la agilidad en respuesta es cada vez más esencial para evitar el secuestro de datos y otros males causados por un número creciente de amenazas virtuales.

“El apoyo a las tecnologías que simulan rápidamente ataques permiten probar la efectividad de los controles de seguridad. Picus Labs ha incluido simulaciones de los diversos ataques registrados en julio en Picus Threat Library, actualización en tiempo real de la plataforma Picus Complete Security Control Validation”.

Vea los detalles de los cinco ataques principales en este período a continuación:

Ransomware Maui

La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), el Departamento del Tesoro de los Estados Unidos y el Federal Bureau of Investigation (FBI) publicó una declaración conjunta el 6 de julio sobre un agente de amenaza virtual basada en Corea del Norte que utilizó, el ransomware Maui. Los grupos afiliados a este ransomware se conocen principalmente al infligir ataques de ransomware, al parecer, patrocinado por el gobierno de Corea del Norte en los sectores de salud. Maui emplea un solo método de extorsión, por lo tanto, no exfiltra los datos ni elimina backups del sistema.

Curiosamente, no emplea la técnica de movimiento lateral (cuando el atacante se extiende desde un punto o una cuenta no confidencial al resto de la red) y no envía una nota a sus víctimas para pagar el rescate. Sin embargo, Maui utiliza un método de cifrado híbrido combinando AES, cifrado RSA y codificación XOR para aumentar el impacto. Mientras que el algoritmo RSA genera un nuevo par de claves públicas yprivadas, el algoritmo AES cifra cada archivo en modo CBC. Una vez que cada archivo es encriptado con una clave secreta única estas llaves secretas están cifradas con la llave pública que se genera al principio del ataque.  Picus Threat Library incluyó las siguientes amenazas para el ransomware Maui:

ID de amenazaNombre de amenaza
56700Maui Ransomware Download Threat (Network Infiltration)
64940Maui Ransomware Email Threat (Email Infiltration (Phishing))

Green Stone Malware Dropper

A finales de julio, muchas compañías iraníes recibieron un documento Office Open XML, que contienía una macro maliciosa cuyas funciones descomprimen y ejecutan un ejecutable en un directorio temporal, lo cual es una práctica común empleada en ataques cibernéticos para evitar la detección. Los análisis posteriores mostraron que el ejecutable tiene capacidad de espionaje cibernético. Recopila información sobre el sistema operativo, toma capturas de pantalla y envía los datos recopilados a un servidor remoto.

El análisis de este malware apunta a una técnica inusual de intercambio de comandos utilizando un bot del Telegram. Esta técnica evita comunicaciones innecesarias con un servidor remoto y oculta el servidor C2.

“Al igual que muchos grupos que usan APT (advanced persistent threat) prefieren incorporar contenido malicioso en un documento inofensivo, las empresas deben conocer las posibles amenazas de los correos electrónicos y evaluar la efectividad de su protección XDR contra el spam, el Phishing y varios malwares, al igual que el Green Stone Malware Dropper”, recomienda Camargo.

Picus Threat Library incluye las siguientes amenazas para el dropper de malware Green Stone:

ID de amenazaNombre de amenaza
69096Green Stone Malware Dropper Email Threat (Email Infiltration (Phishing))
70452Green Stone Malware Dropper Download Threat (Network Infiltration)

El Ransomware HavanaCrypt

El año 2022 fue marcado por la distribución de malware disfrazado de programas legítimos y actualizaciones de software, como Windows 10, Google Chrome y Microsoft Exchange. Este mes, se encontró una nueva familia de malware < HavanaCrypt, en su estado nativo. Este malware se disfraza como una aplicación legítima de Google Software y utiliza una dirección IP que pertenece a un servicio de alojamiento en Microsoft Azure, que es el servidor C2, para verse legítimo. Los análisis posteriores mostraron que el malware utiliza la función QueueUserWorkItem para implementar una variedad de amenazas para sus otras cargas útiles y un método de namespace .NET System.Threading, que permite una secuencia de métodos de ejecución. Havanacrypt usa los módulos KeePass Password Safe, un administrador de contraseñas de código abierto durante el proceso de cifrado de archivos.

Este malware es una aplicación compilada en .NET y protege su código en un ensamblado.NET usando Obfuscar, un ofuscador de .NET de código abierto.

El malware HavanaCrypt está diseñado para tener varias técnicas anti-virtualización para evitar un análisis dinámico en caso de que se ejecute en una máquina virtual. También verifica los servicios utilizados principalmente en máquinas virtuales, como VMware Tools, VMTools y wm mouse. Para analizar este malware, los investigadores utilizaron herramientas desofuscació como DeObfuscar y de4dot.

Se descubrió que los directorios del Browser Tor se encuentran entre los objetivos que HavanaCrypt evita cifrar. Los atacantes pueden haber planeado mantener la comunicación con sus víctimas a través del navegador Tor. Otro dato curioso que llama la atención es que los delincuentes no envían notas de rescate. “Con esto en mente, los investigadores piensan que HavanaCrypt todavía está en proceso de desarrollo. Sin embargo, es importante que las organizaciones prueben su sistema con esta nueva familia de malware”, dice el CEO de CLM.

Picus Threat Library incluye las siguientes amenazas para HavanaCrypt:

ID de amenazaNombre de amenaza
24728HavanaCrypt Ransomware Email Threat (Email Infiltration (Phishing))
91290HavanaCrypt Ransomware Download Threat (Network Infiltration)

Ransomware Lilith

Un ransomware basado en la consola C/C ++ llamada Lilith fue descubierto en su estado nativo. Este malware está diseñado para la arquitectura de Windows x64 y, como muchas otras operaciones de ransomware, Lilith utiliza el método de doble extorsión: roba datos confidenciales, los cifra y envía una nota de rescate que proporciona una dirección de chat en el navegador Tor en el sistema de destino.

El análisis muestra que el malware Lilith no cifra todos los tipos de archivos en el sistema de destino. Por ejemplo, EXE, DLL, SYS y Archivos de Programa, navegadores web y las Carpetas de Contenedores se eliminan del proceso de cifrado. Además de estos archivos, llama la atención:  un extraño archivo que se encuentra en el sistema de la víctima: ecdh_pub_k.bin. Este archivo también se elimina del proceso de cifrado y almacena la llave público local de las infecciones de ransomware BABUK, lo que indica que estas dos familias de malware pueden estar vinculadas de alguna manera.

El malware realiza el cifrado utilizando una API criptográfica de Windows y una función CryptGenRandom de Windows para generar una clave aleatoria. Aunque los investigadores dicen que la nueva familia Lilith no tiene nada nuevo, es una de las últimas organizaciones que necesita para probar sus sistemas. Picus Threat Library incluye las siguientes amenazas para el ransomware Lilith:

ID de amenazaNombre de amenaza
35395Lilith Ransomware Email Threat (Email Infiltration (Phishing)) Lilith Ransomware Download Threat (Network Infiltration)
94407Lilith Ransomware Download Threat (Network Infiltration)

Ransomware H0lyGh0st

El H0lyGh0st es un grupo de amenazas de extorsión cibernética de Corea del Norte conocido por desarrollar cargas útiles de malware y perpetrar ataques de ransomware desde junio de 2021. En 2018, lanzaron muchos ataques exitosos contra pequeñas y medianas empresas, como bancos, fabricantes, escuelas y planificación de eventos y reuniones en todo el mundo.

Aunque el H0lyGh0st ha estado activo desde 2021 y rastreado por el MSTIC (Microsoft Threat Intelligence Center) en este momento, el grupo ahora contraataca con una variante de malware más persistente y mejorada: BTLC.exe.

Picus Threat Library incluye las siguientes amenazas para el ransomware H0lyGh0st:

Threat IDNombre de amenaza
20076H0lyGh0st Ransomware Malware Download Threat (Network Infiltration)
41450H0lyGh0st Ransomware Malware Email Threat (Email Infiltration (Phishing))
97451DEV-0530 Threat Group Campaign Malware Download Threat (Network Infiltration)
75946DEV-0530 Threat Group Campaign Malware Email Threat (Email Infiltration (Phishing))