Informe de investigación de Trellix Threat Labs: Abril de 2022

Carta de nuestro científico jefe

Bienvenido a nuestro último informe de amenazas.

Transcurrido un trimestre del nuevo año, sería exagerado decir que hemos tenido un inicio de año fácil. Estamos saliendo lentamente de la pandemia, pero la incertidumbre en torno al reciente conflicto de la región de Eurasia se ha apoderado del protagonismo de nuestras conversaciones y de nuestra vida diaria.

Antes de nada, nos gustaría empezar diciendo que Trellix está a favor de la paz. Con independencia de las partes implicadas en cualquier conflicto, nuestra misión primordial es proteger a los clientes y cumplir la legislación internacional. Nuestros esfuerzos de investigación y vigilancia continuaron mientras preparábamos este informe. Por ejemplo, el grupo Lapsus$ atacó a grandes empresas de todo el mundo, centrándose inicialmente en Suramérica, donde filtraron datos confidenciales que incluían código fuente y certificados.

Pudimos constatar que los certificados terminaron utilizándose. Un ejemplo fue para la firma de archivos binarios de malware, un método para intentar eludir la confianza de sistemas operativos y productos de seguridad. Los detalles sobre este grupo, sus últimos ataques y las contramedidas están disponibles aquí.

En nuestro segundo informe de amenazas desde el lanzamiento de nuestra nueva empresa, constatamos los (ciber) eventos que dominaron los titulares a nivel mundial. Desde los ataques contra infraestructuras ucranianas al malware HermeticWiper, capaz de destrozar los sectores de arranque de la máquina infectada, la ciberseguridad ha sido la prioridad para muchos en el nuevo año. También echamos la mirada atrás al cuarto trimestre de 2021, que vio cómo la vulnerabilidad de Log4shell afectaba a cientos de millones de dispositivos y muchos ahora se preparan para las nuevas amenazas del nuevo año.

El equipo de Trellix Threat Labs ha estado en primera línea del análisis e investigación sobre el ransomware durante muchos años. Colaborando con el sector público, nos sentimos orgullosos de celebrar el éxito cuando en diciembre de 2021 se llevaron a cabo detenciones y se frustraron varias operaciones de ransomware. La reciente filtración de chats tanto del grupo de ransomware Conti como de Trickbot dejó bien a las claras el nivel de profesionalidad de estas operaciones. Demuestra que necesitamos una respuesta conjunta entre los sectores público y privado para evitar los problemas que generan estos ataques.

Además, consulte la página de artículos de blog de Trellix Threat Labs, donde encontrará nuestros últimos contenidos sobre amenazas, vídeos y enlaces al boletín de seguridad.

Este informe también destaca otros ataques y amenazas prevalentes observados en circulación.

—Christiaan Beek
Científico jefe

Christiaan Beek Twitter

Trellix Threat Labs descubre nueva actividad sospechosa de la APT DarkHotel

En marzo, Trellix descubrió una campaña maliciosa de primera etapa contra hoteles de lujo en Macao, China, desde la última mitad de noviembre de 2021. El ataque comenzó con un mensaje de phishing selectivo (spearphishing) dirigido al personal de dirección del hotel, funciones como el vicepresidente de RR. HH., el subdirector y el director de servicio al cliente. Si observamos las funciones podemos asumir que las personas atacadas contaban con suficientes derechos de acceso a la red del hotel, incluidos los sistemas de contabilidad. Cómo funciona:

• El mensaje de correo electrónico utilizado para este ataque de phishing selectivo contiene un adjunto con una hoja Excel. La hoja Excel se utiliza para engañar a la víctima para que, al abrirla, active las macros maliciosas incrustadas.
• Esas macros activan a su vez varios mecanismos que se detallan en el apartado de análisis técnico y se resumen en el gráfico del flujo de infección que se incluye más adelante.
• En principio, las macros crean una tarea programada para realizar el reconocimiento, la lista de datos y la filtración de datos.
• A partir de ahí, para permitir la comunicación con el servidor de mando y control utilizado para filtrar datos de la víctima, las macros utilizan una técnica de LOLBAS (binarios y scripts que utilizan recursos locales), para realizar líneas de comandos de PowerShell como script de confianza.

Lea nuestro artículo de blog para obtener más información sobre los antecedentes, la atribución, la campaña y el análisis de las técnicas de la APT DarkHotel.

Trellix THREAT LABS identifica un compromiso en la oficina del primer ministro

En enero, nuestro equipo anunció la identificación de una campaña de espionaje multifase dirigida contra altos funcionarios públicos encargados de la supervisión de la política de seguridad nacional y ejecutivos del sector de la defensa en Asia Occidental. Trellix informó a las víctimas antes de su publicación y hemos proporcionado toda la información necesaria para eliminar todos estos componentes conocidos de su entorno.

El análisis del proceso de ataque empieza con la ejecución de un archivo Excel que contiene un exploit para la vulnerabilidad de ejecución remota de código MSHTML (CVE-2021-40444). Este exploit servía para ejecutar un archivo DLL malicioso que actuaba como archivo de descarga para el malware de la tercera etapa que hemos denominado Graphite. Graphite es una muestra de malware recién descubierta basada en un stager OneDrive de Empire que utiliza cuentas de OneDrive como servidor de mando y control a través de la API Microsoft Graph.

Las últimas etapas de este ataque multifase, que en nuestra opinión está relacionado con una operación APT, incluye la ejecución de diferentes stagers de Empire hasta finalmente descargar un agente de Empire en los ordenadores de las víctimas y conectar con el servidor de mando y control para controlar los sistemas de forma remota.

El diagrama siguiente muestra el proceso general del ataque.

Lea nuestro artículo de blog para obtener más información sobre el análisis, incluidas las etapas, la infraestructura y la atribución.

Metodología

Los sistemas backend de Trellix proporcionan telemetría que utilizamos como aportación para nuestros informes de amenazas trimestrales. Combinamos nuestra telemetría con inteligencia de acceso público sobre amenazas y nuestras propias investigaciones sobre amenazas prevalentes, como ransomware, actividad financiada por Estados, etc.

Cuando hablamos de telemetría, nos referimos a detecciones, no a infecciones. Una detección se produce cuando uno de nuestros productos detecta un archivo, URL, dirección IP u otro indicador y nos informa al respecto.

La privacidad de nuestros clientes es primordial. También es importante a la hora de generar telemetría y asociarla a los sectores y países de nuestros clientes. La base de clientes por país varía y las cifras podrían mostrar cifras elevadas, si bien para explicarlo habría que mirar los datos con más detenimiento. Un ejemplo es el hecho de que el sector de las telecomunicaciones siempre presenta cifras elevadas en nuestros datos. Pero no significa necesariamente que este sector reciba muchos ataques. El sector de las telecomunicaciones incluye también proveedores de servicios de Internet que son propietarios de espacios de direcciones IP que pueden comprar las empresas. ¿Qué significa esto? Los envíos desde el espacio de direcciones IP del proveedor de servicios de Internet se muestran como detección del sector de las telecomunicaciones, pero podrían ser de clientes del proveedor que operan en un sector diferente.

Ransomware

En el último trimestre de 2021, el panorama de ransomware continuó evolucionando. En lugar de los grandes ataques que describimos en nuestro informe anterior, los operadores de ransomware tuvieron que buscar un nuevo refugio clandestino y las fuerzas de seguridad empezaron a castigar a varios grupos de ransomware destacados. Uno de estos grupos fue REvil/Sodinokibi, clasificado entre las principales familias de ransomware en el tercer trimestre. Sin embargo, REvil desapareció de la escena tras un desmantelamiento coordinado de su infraestructura, diversas disputas internas y detenciones de algunos de sus miembros. Trellix tiene el orgullo de haber ayudado en la investigación de REvil, proporcionando análisis del malware, localizando infraestructura clave e identificando a múltiples sospechosos.

Nuestro top 3 en el 4.º trimestre de 2021 lo formaron Lockbit, Cuba y Conti, ransomware en todos los casos. Sospechamos que lo más probable es que el resto de miembros de REvil hayan encontrado un nuevo hogar en estas familias de ransomware.

El panorama es tan dinámico que ya ha se han producido cambios cuando todavía está fresco el contenido de este informe. Conti, que se ha convertido en una de las familias más grandes, sufrió la filtración de miles de chats internos en Internet, revelando básicamente sus secretos internos. Apodamos esta filtración los "Papeles de Panamá" del ransomware y nos aseguraremos de destacar nuestros hallazgos en el informe del próximo trimestre.

Para ayudar a las empresas a entender mejor los ataques de ransomware y a protegerse en el paisaje actual de amenazas, el equipo de Trellix Threat Labs presenta investigaciones sobre la prevalencia de una amplia variedad de amenazas de ransomware, lo cual incluye familias, técnicas, países, sectores y vectores implicados del 4.º trimestre de 2021.