Los operadores de la prolífica botnet bancaria Trickbot han comenzado a ofrecer a los actores avanzados de amenazas persistentes acceso a un nuevo y sofisticado conjunto de herramientas de ataque llamado Anchor para explotar las redes de objetivos de alto valor que el malware ha comprometido anteriormente.
Investigadores del recientemente creado SentinelOne, el proveedor de seguridad SentinelLabs, detectaron recientemente al famoso Grupo Lazarus respaldado por el estado de Corea del Norte utilizando el conjunto de herramientas para desplegar una de sus propias muestras de malware en la purple de una víctima de Anchor.
El descubrimiento es significativo porque las operaciones de crimeware motivadas financieramente como Trickbot hasta ahora operaron completamente por separado de las campañas APT, especialmente las respaldadas por el estado, que generalmente están más enfocadas en el robo de datos, la vigilancia y otras actividades de larga cola.
«La madurez de los modelos de crimeware y la convergencia de amenazas nos obligan a repensar nuestras defensas», dice Vitali Kremez, investigador principal de seguridad cibernética en SentinelLabs.
«Los delincuentes y el estado-nación están buscando objetivos de alto valor y (colaborando) en sus accesos por incumplimiento», dice. Las organizaciones ahora tienen que preocuparse no solo por los grupos criminales, sino también por las amenazas de crimeware que podrían madurar en la actividad APT, señala Kremez.
Los operadores de Trickbot, que comenzaron en 2016 utilizando el malware para robar dinero de las cuentas bancarias en línea, se han transformado a lo largo de los años en una operación masiva de crimeware como servicio. Trickbot ha evolucionado de una herramienta para robar información de inicio de sesión de cuenta bancaria a una herramienta que puede realizar una variedad de funciones maliciosas, incluida la entrega de ransomware, troyanos bancarios y criptomineros.
Los operadores de Trickbot han creado una base de datos de información en redes que han comprometido, a la que otros atacantes pueden acceder y utilizar por una tarifa para entregar ransomware y llevar a cabo sus propios ataques.
Hasta ahora, la oferta de Crimeware como servicio de Trickbot se ha dirigido principalmente a otros afiliados con motivación financiera. Pero con el proyecto Anchor, el modelo comercial de Trickbot parece haberse expandido, de acuerdo con SentinelLabs.
«Period un proyecto oculto separado y / o una bifurcación de la base de código principal de malware Trickbot», dice Kremez. Parece haber sido desarrollado para objetivos e intrusiones de alto valor y múltiples grupos APT lo están utilizando actualmente, dice.
El marco de ataque de Anchor incluye herramientas que van desde un sofisticado instalador de malware hasta una herramienta de limpieza para limpiar toda evidencia de un ataque. Incluye mecanismos que permiten a los atacantes cargar marcos legítimos como Metasploit, Cobalt Strike y PowerShell Empire y usarlos para la explotación posterior al compromiso, dijo SentinelLabs.
«Anchor se presenta como un marco de ataque todo en uno diseñado para comprometer los entornos empresariales utilizando el trabajo personalizado y el existente», señaló el proveedor. Brinda a los actores de APT una forma de extraer datos de manera específica y permanecer sin ser detectados en las redes comprometidas durante mucho tiempo.
De beneficio mutuo
Para una operación como el Grupo Lazarus, el proyecto Ancla de Trickbot es especialmente útil. El grupo, mejor conocido por sus ataques a Sony y por su abuso de la crimson financiera SWIFT para robar decenas de millones de dólares del Banco de Bangadesh, es un actor de amenazas APT algo raro. Como un brazo del régimen de Corea del Norte, el Grupo Lazarus no solo se centra en el robo de datos, sino también en ataques con motivos financieros en apoyo del gobierno que carece de dinero.
Algunos ven los ataques de ransomware WannaCry y los ataques a través de la purple SWIFT como ejemplo de los esfuerzos del grupo para recaudar dinero para el gobierno de Corea del Norte.
Para el Grupo Lazarus, el beneficio principal del vínculo Trickbot Anchor «es el acceso a objetivos comprometidos de alto valor para una posterior explotación y monetización sin la necesidad de ejecutar su propia campaña», dice Kremez.
Y el uso de herramientas de terceros como las de Trickbot también puede ayudar a que la atribución sea más difícil para los investigadores.
La investigación de SentinelLabs sugiere una relación de trabajo entre los miembros del Grupo Lazarus y algunos de los criminales detrás de Trickbot Anchor, lo que les permite tener una relación financiera mutuamente beneficiosa, dice Kremez. «Creemos que podría ser un acuerdo de asociación dado nuestro conocimiento de cómo operan los grupos de una manera protectora muy privada», y solo con los socios más confiables, dice.
Sin embargo, los grupos APT no son el único enfoque. Según SentinelLabs, el conjunto de herramientas de ataque Anchor también se está utilizando en ataques cibernéticos a gran escala y ataques en sistemas de punto de venta.
Contenido relacionado:
Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa
Más ideas
