Ciberdelincuentes están utilizando una nueva y potente herramienta de pruebas de penetración
Los grupos de hackers y las bandas de ransomware se están cambiando de Cobalt Strike al nuevo kit de herramientas de post-explotación Brute Ratel. Brute Ratel les permite evadir la detección por parte de EDRs y soluciones antivirus.
Los equipos de ciberseguridad corporativos suelen estar formados por empleados que intentan vulnerar las redes corporativas (equipo rojo) y aquellos que se defienden activamente contra ellos (equipo azul). Luego, ambos equipos comparten notas después de los compromisos para fortalecer las defensas de ciberseguridad de una red.
Durante años, una de las herramientas más populares en los enfrentamientos de equipo rojo ha sido Cobalt Strike. Cobalt Strike es un conjunto de herramientas que permite a los atacantes implementar “balizas” en dispositivos comprometidos para realizar vigilancia de red remota o ejecutar comandos.
Si bien Cobalt Strike es un software legítimo, los atacantes han estado compartiendo versiones crackeadas en línea. Esto la convierte en una de las herramientas más populares utilizadas por hackers y bandas de ransomware para propagarse lateralmente a través de redes corporativas vulneradas.
Hackers están cambiando a Brute Ratel
En 2020, Chetan Nayak, un ex miembro del equipo rojo en Mandiant y CrowdStrike, lanzó Brute Ratel Command and Control Center (BRc4). BRc4 es una alternativa a Cobalt Strike para los compromisos de prueba de penetración de equipo rojo.
Al igual que Cobalt Strike, Brute Ratel es una herramienta de simulación de ataques adversarios que permite a los equipos rojos desplegar ‘Badgers’ (similares a las balizas en Cobalt Strike) en hosts remotos. Estos badgers se conectan de nuevo al servidor de Comando y Control del atacante para recibir comandos para ejecutar o transmitir la salida de comandos ejecutados previamente.
En un nuevo informe de la Unidad 42 de Palo Alto, los investigadores detectaron que los atacantes se están alejando de Cobalt Strike para usar Brute Ratel como su conjunto de herramientas de elección para la post-explotación.
Este cambio de táctica es significativo, ya que BRc4 está diseñado para evadir la detección por parte de EDR y las soluciones antivirus. Y, casi ningún software de seguridad lo detecta como malicioso cuando se detecta por primera vez en el entorno.
“Si bien esta capacidad ha logrado mantenerse fuera del centro de atención y sigue siendo menos conocida que sus hermanos Cobalt Strike, no es menos sofisticada”.
“En cambio, esta herramienta es particularmente peligrosa porque fue diseñada específicamente para evitar la detección mediante las capacidades de detección y respuesta de punto final (EDR) y antivirus (AV). Su efectividad al hacerlo puede verse claramente por la falta de detección antes mencionada entre los proveedores en VirusTotal”.
Informe de Unit 42
Hackers rusos al acecho
En ataques que se sospecha que están vinculados al grupo de hackers patrocinado por el estado ruso APT29 (también conocido como CozyBear y Dukes), los atacantes están distribuyendo ISOs maliciosos que supuestamente contienen un currículum (CV) enviado.
Sin embargo, el archivo de currículum ‘Roshan-Bandara_CV_Dialog
‘ es en realidad un acceso directo de Windows. Este acceso directo inicia el archivo OneDriveUpdater.exe, como se muestra en las propiedades del archivo a continuación.
Si bien OneDriveUpdater.exe es un ejecutable legítimo de Microsoft, el archivo version.dll incluido que carga el programa se ha modificado para que actúe como un cargador para un badger Brute Ratel. Este se carga en el proceso RuntimeBroker.exe
.
Una vez que se carga el badger Brute Ratel, los atacantes pueden acceder de forma remota al dispositivo comprometido para ejecutar comandos y propagarse más en la red ahora vulnerada.
Las bandas de ransomware entran en acción
Brute Ratel actualmente cuesta $2,500 por usuario por una licencia de un año. Además, los clientes deben proporcionar una dirección de correo electrónico comercial y verificarse antes de que se emita una licencia.
“Pero debido a la naturaleza del software, solo vendemos el producto a empresas e individuos registrados con una dirección de correo electrónico/dominio comercial oficial después de verificar el negocio y el historial laboral de la persona”.
Página de precios de Brute Ratel
Como se trata de un proceso de verificación manual, surge la pregunta de cómo los atacantes reciben las licencias de software.
El desarrollador de Brute Ratel, Chetan Nayak dijo que la licencia utilizada en los ataques informados por Unit 42 fue filtrada por un empleado descontento de uno de sus clientes.
Como los payloads le permiten a Nayak ver quién tiene licencia, pudo identificar y revocar la licencia.
Obtención de las licencias
Sin embargo, según el CEO de AdvIntel, Vitali Kremez, los ex miembros del ransomware Conti también comenzaron a adquirir licencias. Esto lo lograron mediante la creación de empresas estadounidenses falsas para pasar el sistema de verificación de licencias.
“Los delincuentes detrás de las antiguas operaciones de ransomware Conti exploraron múltiples kits de prueba de penetración más allá del uso de Cobalt Strike”.
“En un caso particular, obtuvieron acceso al kit Brute Ratel que se usó para la post-explotación en ataques dirigidos desde el cargador BumbleBee. El objetivo final del uso de Brute Ratel era el framework de post-explotación para el movimiento lateral y el cifrado de red posterior a través de un payload de ransomware”.
“Para obtener acceso a las licencias de Brute Ratel, los atacantes crean empresas estadounidenses falsas que se utilizan como parte del proceso de verificación”.
Vitali Kremez
Contactamos al creador de Brute Ratel, Chetan Nayak, con preguntas sobre el proceso de verificación, pero no hemos recibido ninguna respuesta.