Entrega de malware como servicio: Malware Delivery as a Service

Agosto 2020

Las Tácticas, Técnicas y Procedimientos (TTP) utilizados por los actores de amenazas siempre están evolucionando. Recientemente, los ataques de ransomware están utilizando malware más tradicional para afianzarse en una empresa y Malware Delivery as a Service está evolucionando para satisfacer esta demanda.

La tendencia general es que los adversarios se están especializando en partes relativamente pequeñas de la cadena de ataques cibernéticos. Al hacerlo, pueden refinar sus TTP, hacer que sus ataques sean más difíciles de detectar y abrir oportunidades de negocio previamente ocultas, como vender el acceso a redes ya comprometidas

Cronología de eventos:

A partir de abril de 2019, podemos ver que la cooperación entre ransomware y malware aumenta gradualmente. Esto culminó en la última generación de malware que satisface específicamente esta relación simbiótica.

·       Abril 2019:      

Emotet y Trickbot desarrollan la capacidad de entregar ransomware a un sistema infectado

·       Junio 2019:

Los troyanos (qakbot, emotet, rietspoof) se usan para moverse lateralmente hasta que se compone un controlador de dominio. Megacortex se entrega a la red comprometida.

·       Noviembre 2019:

Los troyanos Dridex pueden tardar meses en profundizar y comprometer los controladores de dominio, antes de que se entregue el ransomware.

·       Mayo 2020 :

Prolock Ransomware utiliza malware qakbot y servidores de escritorio remotos para violar a las víctimas.

·       Junio 2020 :

Los troyanos Glupteba crean puertas traseras a los sistemas infectados, con el fin de brindar acceso a otros actores de amenazas

·       Julio 2020 :

El grupo de amenazas TA505 mejora sus herramientas con el tiempo, utilizando recientemente Get2 para instalar el malware SDBbot, FlawedGrace o FlawedAmmyRAT para moverse lateralmente e implementar CLOP ransomware en la cantidad máxima de sistemas. La negativa a pagar el rescate da como resultado que se publiquen datos confidenciales en su sitio " CL0P ^ _- LEAKS".

Si observamos los ataques de ransomware desde la perspectiva del cibercriminal, podemos concluir que desarrollar, mantener y proteger la infraestructura capaz de controlar miles de dispositivos infectados en todo el mundo no es una tarea fácil. Aquí es donde las soluciones como el ransomware como servicio proporcionan su valor.

 

Ransomware como servicio:

no es nuevo en el negocio de la seguridad, y debido a eso, la mayoría de los proveedores de antivirus suelen detectar las amenazas que operan utilizando esta metodología, lo que dificulta las cosas para los ciberdelincuentes.

Entonces, ¿cómo puede un atacante eludir las herramientas de seguridad e implementar ataques de ransomware en las corporaciones en estos días sin ningún problema? Bueno, esto es lo que da vida a Malware Delivery as a Service.

 

Nuevo modelo de negocio del Malware:

Los ciberdelincuentes pueden dejar de preocuparse por las campañas de correo electrónico no deseado para ocultar los ataques de los motores antivirus y, en cambio, utilizan la infraestructura ya comprometida por otros grupos de amenazas con mucha más experiencia en evitar las herramientas de seguridad. Utilizando cualquiera de las herramientas de prueba de penetración comerciales y de código abierto disponibles, pueden centrarse en comprender el funcionamiento interno de la infraestructura de su víctima, identificar los activos más valiosos y desplegar ataques directamente contra ellos.

Nunca ha sido tan fácil comprometer una organización, incluso sin conocimientos técnicos, por lo tanto, este es el momento de buscar esos compromisos de forma continua e intencional.

Si su infraestructura de red se está comunicando con cualquiera de estos IoC , asegúrese de tomar medidas inmediatas. Incluso la menor cantidad de actividad podría indicar que un ataque de ransomware es inminente. Por encima de todo, es imperativo buscar de manera continua e intencional los compromisos de entrega de malware como servicio, de modo que puedan eliminarse antes de que se pueda escalar la gravedad de la violación.

 

fuente: https://lumu.io/malware-delivery-as-a-service/