En algunos casos, un doble golpe puede significar algo bueno: cuando su equipo favorito gana dos juegos consecutivos, cuando la máquina expendedora le da dos golosinas, etc. Sin embargo, en el contexto de la seguridad informática, puede traducirse en ser atacado mientras se está recuperando del embate de otra amenaza.
En cuestiones de seguridad, muchas organizaciones se dedican a solucionar las debilidades individuales y las vulnerabilidades que puedan explotarse, pensando que eso será suficiente para detener un ataque. Si bien puede funcionar algunas veces, los hackers de hoy son mucho más sofisticados y son más determinados que sus predecesores. Si algo no funciona, el hacker seguirá intentándolo hasta que pueda infiltrarse con éxito al sistema.
Recientemente se identificó un nuevo estilo de agresión que aprovecha no uno sino dos ataques distintos utilizando el malware como vehículo. En este escenario, uno de ellos se utiliza como una distracción, ocultando las actividades maliciosas de otro malware que actúa discretamente –abriendo la puerta a infecciones adicionales, o para robar datos y propiedad intelectual. Normalmente los hackers utilizan muestras de ransomware visibles para lanzar el ataque inicial, ofreciendo así una herramienta de distracción para dar un segundo golpe. Este método es algo que veremos con mayor frecuencia en 2018.
Pero, ¿cómo es exactamente este tipo de ataque? ¿Y cómo pueden protegerse las organizaciones cuando sus sistemas reciben un golpe después de otro? Analicemos lo que sucede cuando un ataque oculta a otro:
Bad Rabbit sirve de pantalla al spear phishing
Bad Rabbit es un ejemplo reciente de un ataque que oculta a otro más nocivo. Esta ransomware surgió en el otoño de 2017 cuando se utilizó como plataforma de lanzamiento para infectar a más de 200 organizaciones de Rusia y Ucrania, reportó The Hacker News. Bad Rabbit utilizó una explotación de NSA que robó el grupo de hackers Shadow Brocker, lo que le permitió infiltrarse y propagarse rápidamente por las redes de las víctimas.
Otras muestras conocidas han aprovechado recientemente a EternalBlue, como es el caso del ransomware NotPetya, del que hablaremos más adelante. Bad Rabbit, por otro lado, utilizó la explotación EternalRomance RCE para iniciar su actividad malévola. Esta vulnerabilidad aprovecha una falla de Microsoft Windows Server Messaging Block que se ha identificado como CVE-2017-0145, la cual afecta la transferencia de datos entre los endpoints Windows, y permite que los hackers evadan los protocolos de seguridad que eliminan la ejecución de código.
Cuando surgieron los ataques, los investigadores descubrieron que la infección inició con una descarga drive-by de sitios de medios rusos infectados que utilizaba un reproductor Flasher falso para instalar el software malicioso.
Con las infecciones exitosas los investigadores descubrieron rápidamente que Bad Rabit no era sólo una infección de ransomware común y corriente: Detrás de la muestra se ocultaba una poderosa campaña de spear phishing. “Varias organizaciones ucranianas fueron atacadas por las campañas de phishing al mismo tiempo que Bad Rabbit se propagaba,” escribió Stu Sjouwerman, colaborador de KnowBe4. “Esas campañas buscaban comprometer la información financiera y otros datos confidenciales.”
De este modo, el ransmoware Bad Rabbit inicial era sólo una cortina de humo para cubrir un ataque más dirigido que iba tras datos valiosos de las compañías. Serhiy Demedyuk, jefe de la Policía Cibernética ucraniana, calificó a los casos reportados como “ataques híbridos,” y destacó que el primer ataque captó mucha de la atención, lo que permitió que el segundo ataque tuviera éxito con “resultados devastadores.”
[image url=”https://pictures.brafton.com/x_0_0_0_14113964_800.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”20″ margin_bottom=”15″ width=”800″ height=”530″]
No nos dejemos engañar: en un inicio, Bad Rabbit parecía aprovechar una vulnerabilidad de Windows, pero realmente ocultaba un poderoso ataque de spear phishing.
NotPetya busca la destrucción
NotPetya también es un buen ejemplo de un ataque de doble golpe. Sin embargo, mientras que Bad Rabbit oculta la actividad maliciosa del spear phishing, NotPetya apareció como una muestra de ransomware que sólo buscaba destruir los sistemas de las víctimas, no sólo robar información de ellos.
La primera vez que muchos escuchamos hablar de este ataque fue cuando su predecesor, Petya, surgió en marzo de 2016, según reporta Josh Fruhlinger, colaborador de CSO Online. Petya aprovechó un correo electrónico infectado para atacar a las víctimas, y después encriptar archivos individuales, incluyendo aquellos con la extensión .exe.
Después, en junio de 2017, NotPetya surgió, que en un principio era similar a cualquier infección de ransomware típica capaz de propagarse rápidamente de una víctima a otra y de una red a otra. Aunque NotPetya se parecía mucho a Petya –pues encriptaba archivos y mostraba una notificación que pedía Bitcoin a cambio de devolver el acceso- NotPetya se diferenció rápidamente.
Fruhlinger señaló que si bien Petya utilizaba un correo electrónico infectado, al igual que muchas muestras de ransomware, NotPetya pudo propagarse por sí solo usando varios métodos distintos para propagar la infección, incluyendo un backdoor forzado que no requería de la interacción humana para realizar un ataque exitoso. NotPetya también es capaz de encriptar más archivos, al punto que la unidad de disco duro queda inservible.
Finalmente, como lo señala Fruhlinger, NotPetya no es realmente ransomware; su proceso de infección y encripción se utiliza para encubrir sus verdaderas intenciones: la destrucción.
“Su parecido al ransomware radica en que utiliza una pantalla que le informa a las víctimas que sus archivos se pueden liberar si depositan Bitcoins en una cuenta específica,” explicó Fruhlinger. “Para Petya, esta pantalla incluye una identificación que supuestamente deben enviar junto con el rescate; los atacantes utilizan este código para saber quién de las víctimas hizo el pago. Pero en las computadoras infectadas por NotPetya, este número se genera aleatoriamente por lo que no servirá para identificar nada. Y resulta que en el proceso de encriptar los datos, NotPetya los daña a tal grado que no pueden repararse.
“El proceso de infección y encripción de NotPetya se utiliza para encubrir sus verdaderas intenciones: la destrucción.”
Lo que sorprende es que el objetivo de NotPetya no sea robar datos sino venderlos para obtener ganancias o para robar identidades o propósitos malintencionados. Al parecer NotPetya sencillamente quiere irrumpir en los sistemas de las víctimas, paguen o no un rescate.
Protección contra ataques híbridos
Los ataques son cada vez más complejos y sofisticados, y sus autores perfeccionan constantemente sus habilidades, de ahí que las empresas deban estar al día con las amenazas más recientes y protegerse contra ellas. Estos ataques híbridos u ocultos resaltan la importancia de tener tanta visibilidad de la actividad que se realiza en la red como sea posible, asegurando así que cuando se detecta cierta actividad sospechosa en un área, las víctimas no se distraigan al punto que dejen abierta la puerta a un segundo ataque más dañino.
Medidas que incluyan el monitoreo integral son ideales, lo cual ayuda a evitar que los comandos maliciosos y sospechosos permanezcan indetectables. Los líderes de TI y los encargados de tomar decisiones deben buscar soluciones que puedan ayudar a identificar la actividad asociada con una taque dirigido, y brindar visibilidad granular de toda la red. Deep Discovery y Connected Threat Defense de Trend Micro ayudan a asegurar que su organización cuente con seguridad integral.
Si desea saber cómo Deep Discovery y Conneced Threat Defense pueden fortalecer la postura de seguridad de su compañía, contacte hoy mismo a Trend Micro.
Leave a Reply