Peligrosa banda de ciberdelincuentes está expandiendo sus medios de distribución de malware
Según IBM X-Force, los ciberdelincuentes detrás del troyano TrickBot se han asociado con Hive0106 (también conocido como TA551) y Hive0107, otras peligrosas bandas de ciberdelincuentes. ¿El resultado? Incremento de los ataques de ransomware en las corporaciones, especialmente con el ransomware Conti.
El desarrollo también habla de la creciente sofisticación de la banda TrickBot y su posición en la clandestinidad del ciberdelito.
“Este último desarrollo demuestra la fuerza de sus conexiones dentro del ecosistema ciberdelincuente y su capacidad para aprovechar estas relaciones para expandir el número de organizaciones infectadas con su malware”.
Investigadores de IBM
El malware TrickBot nació como un troyano bancario en 2016, pero evolucionó rápidamente para convertirse en una amenaza modular de servicio completo. Es capaz de una variedad de funciones de puerta trasera y robo de datos. Además, puede enviar payloads adicionales y tiene la capacidad de moverse rápidamente lateralmente a través de una empresa.
La banda TrickBot (también conocida como ITG23 o Wizard Spider) ahora ha agregado poderosas tácticas de distribución adicionales a su bolsa de trucos, gracias a los dos nuevos socios.
A principios de este año, [TrickBot] se basó principalmente en campañas de correo electrónico que enviaban documentos de Excel y una treta de centro de llamadas conocida como BazarCall. Sin embargo… los nuevos socios han agregado el uso de subprocesos de correo electrónico secuestrados y formularios de clientes de sitios web fraudulentos. Este movimiento no solo aumentó el volumen de sus intentos de ataque, sino que también diversificó los métodos de ataque con el objetivo de infectar a más víctimas potenciales.
BazarCall
BazarCall es una táctica de distribución que comienza con correos electrónicos que ofrecen “suscripciones de prueba” a varios servicios. Este inicia con un número de teléfono en la lista para llamar al servicio de atención al cliente y evitar que se te cobre dinero.
Si alguien llama, un operador del centro de llamadas responde y dirige a las víctimas a un sitio web para supuestamente darse de baja del servicio. Es un proceso donde el “agente” guía a la persona que llama. Al final, las computadoras vulnerables se infectan con malware, generalmente con BazarLoader. BazarLoader es otro malware en el arsenal de TrickBot, y algunas veces el propio TrickBot. Este tipo de ataques han continuado hasta hace unos meses, reforzados por los nuevos enfoques de distribución.
Mientras tanto, desde 2020, TrickBot ha estado muy involucrado en el ecosistema del ransomware, actuando como un punto de acceso inicial en las campañas. Los usuarios infectados con el troyano verán que su dispositivo se convierte en parte de una botnet que los atacantes suelen utilizar para subir la variante de ransomware de segunda etapa. Los operadores también han desarrollado su propio ransomware. Según IBM: el ransomware Conti, que es conocido por atacar hospitales, destruir copias de seguridad y usar tácticas de doble extorsión.
Las dos bandas se unieron en junio a TrickBot. Desde entonces ha habido un aumento correspondiente en los ataques del ransomware Conti, lo que probablemente no sea una coincidencia.
El ransomware y la extorsión van de la mano hoy en día. Obviamente, TrickBot también se ha adaptado a estos métodos mediante la creación del ransomware como servicio Conti (RaaS) y el uso de sus payloads BazarLoader y Trickbot para consolidar ataques.
Hive0106
Los investigadores han observado que el desarrollo más importante desde junio para la distribución de los diversos tipos de malware es la asociación recién creada con Hive0106 (también conocido como TA551, Shathak y UNC2420).
Hive0106 se especializa en volúmenes masivos de spam. Y, es un grupo de amenazas con motivaciones financieras que últimamente ha estado buscando asociarse con bandas de delincuencia cibernética de élite.
Las campañas de Hive0106 comienzan con el secuestro de hilos de correo electrónico: una táctica iniciada por su enemigo Emotet. La táctica implica saltar a la correspondencia en curso para responder a un mensaje entrante con el pretexto de ser el legítimo titular de la cuenta. Estos hilos de correo electrónico existentes se roban de los clientes de correo electrónico durante ataques anteriores. Hive0106 es capaz de montar estas campañas a escala, utilizando dominios maliciosos recién creados para alojar payloads.
Los correos electrónicos incluyen como asunto del hilo del correo electrónico, pero no todo el hilo. Dentro del correo electrónico hay un archivo malicioso y una contraseña
En las nuevas campañas, ese documento malicioso instala un archivo de aplicación HTML (HTA) cuando los macros están habilitados.
Los archivos HTA contienen código de hipertexto y también pueden contener scripts VBScript o JScript, los cuales se utilizan a menudo en macros trampas explosivos. El archivo HTA luego descarga Trickbot o BazarLoader, que posteriormente descarga Cobalt Strike.
Cobalt Strike es la herramienta legítima de prueba de penetración de la que a menudo los ciberdelincuentes abusan para ayudar con el movimiento lateral. A menudo es un precursor de una infección de ransomware.
Hive0107
Otro afiliado prominente que conectó su vagón con a TrickBot es Hive0107. Este grupo pasó la primera mitad del año distribuyendo el troyano IcedID un rival de TrickBot). Hive0107 cambió su rumbo a TrickBot en mayo, utilizando su método patentado de distribución de formularios de contacto.
Los analistas observaron Hive0107 con campañas de distribución ocasionales del malware Trickbot detectadas desde mediados de mayo hasta mediados de julio de 2021 … después de ese período, Hive0107 cambió por completo a distribuir BazarLoader.
Hive0107 es conocido por utilizar formularios de contacto de clientes en los sitios web de empresas para enviar enlaces maliciosos a empleados. Por lo general, los mensajes envían amenazan con acciones legales.
En las nuevas campañas, Hive0107 está utilizando un señuelo diferente, alegando que la empresa objetivo ha estado realizando ataques distribuidos de denegación de servicio (DDoS) en sus servidores. Luego, los mensajes proporcionan un enlace (malicioso) a la supuesta evidencia y cómo solucionar la situación.
El grupo también envía el mismo contenido por correo electrónico al personal de la organización, un cambio adicional en las tácticas.
En cualquier caso, los enlaces se alojan en servicios legítimos de almacenamiento en la nube donde reside el payloads.
Al hacer clic en el enlace se descarga un archivo .ZIP que contiene un descargador de JScript (JS) malicioso titulado ‘Evidencia de imágenes robadas.js’ o ‘Prueba de ataque DDoS e instrucciones sobre cómo solucionarlo.js’.
Las nuevas campañas de afiliados son evidencia del éxito continuo de TrickBot entrando en el círculo de la élite ciberdelincuente. Lastimosamente, es una tendencia que continuará el próximo año.
El grupo ya ha demostrado su capacidad para mantener y actualizar su malware e infraestructura, a pesar de los esfuerzos de autoridades para detenerlos.
Cómo protegerse cuando TrickBot ataca
Para reducir las posibilidades de sufrir daños catastróficos por una infección (o un ataque de ransomware subsiguiente), IBM recomienda seguir los siguientes pasos:
- Asegúrate de tener redundancia de las copias de seguridad, almacenada por separado de las zonas de red a las que los atacantes pueden acceder con acceso de solo lectura. La disponibilidad de copias de seguridad efectivas es un diferenciador significativo para las organizaciones y puede respaldar la recuperación de un ataque de ransomware.
- Implementar una estrategia para prevenir el robo de datos no autorizado. Esto debe ser así cuando suben grandes cantidades de datos en plataformas legítimas de almacenamiento en la nube de las que los atacantes pueden abusar.
- Emplear análisis de comportamiento del usuario para identificar posibles incidentes de seguridad. Cuando se activa, supón que se ha producido una infracción. Debes auditar, monitorear y actuar rápidamente ante sospechas de abuso relacionado con cuentas y grupos privilegiados.
- Emplear la autenticación de múltiples factores en todos los puntos de acceso remoto en una red empresarial.
- Asegurar o deshabilitar el protocolo de escritorio remoto (RDP). Sabemos que varios ataques de ransomware aprovechan el acceso RDP frágil para obtener una entrada inicial en una red.