El módulo TrickBot apunta a los escritorios remotos



El módulo, aún en desarrollo, se enfoca en comprometer los sistemas Windows mediante cuentas de fuerza bruta a través del Protocolo de escritorio remoto.

Trickbot, un preferred marco de distribución de malware a menudo denominado simplemente como un troyano, ganó un nuevo truco, con los desarrolladores agregando un módulo que se enfoca en comprometer los sistemas de Home windows mediante la fuerza bruta de adivinar nombres de usuario y contraseñas, dijo la firma de seguridad BitDefender en un análisis publicado hoy.

El módulo, descubierto por primera vez en enero, pero solo analizado públicamente esta semana, parece apuntar principalmente a sistemas en Hong Kong y Estados Unidos y se basa en servidores de comando y management (C2) basados ​​principalmente en Rusia y el norte de Europa. El módulo descarga una lista de objetivos, nombres de usuario y contraseñas de los servidores C2, puede verificar que los dominios específicos ejecutan el servicio de Protocolo de escritorio remoto (RDP) y puede intentar un ataque ordenado manualmente en la lista de dominios.

En common, el ataque no es demasiado complejo, pero muestra que la plataforma de malware todavía está evolucionando, dice Liviu Arsene, investigadora world de ciberseguridad para la firma de software package de seguridad BitDefender.

«Técnicamente no es algo sofisticado o avanzado, pero continúa haciendo cosas interesantes», dice. «Tiene todos los rasgos de un ataque avanzado, pero no es sofisticado en absoluto. Es solo un ataque dirigido».

Descubierto por primera vez en 2016, Trickbot es quizás mejor conocido como una parte de la cadena de malware frecuentemente encontrada de Emotet-Trickbot-Ryuk, que se ha dirigido sistemáticamente a las empresas, las ha comprometido y luego instaló un programa disruptivo de ransomware. Trickbot ha adoptado una serie de ataques diferentes contra el sistema de Windows, más recientemente un ataque basado en ActiveX.

Alrededor de las tres cuartas partes de las organizaciones seleccionadas parecen estar en telecomunicaciones, educación e investigación, o servicios financieros, BitDefender dijo en su informe.

«Según la lista de objetivos, quien creó este módulo parece estar centrado en compromisos de tipo nación-estado, no en asuntos financieros como en el pasado», dice Arsene.

Los operadores detrás del marco de malware Trickbot han seguido agregando características, como la recopilación de contraseñas, mejores métodos para evadir la detección y la capacidad de descargar y ejecutar el ransomware Ryuk. En diciembre, la empresa de seguridad SentinelOne descubrió que los operadores de Trickbot habían comenzado a vender el acceso a redes comprometidas a grupos de estados nacionales y que Corea del Norte había utilizado el acceso en un ataque.

A principios de este año, los investigadores de seguridad descubrieron que Ryuk había apuntado a una variedad de infraestructura crítica, incluido el sistema de handle industrial y las instalaciones marítimas. El otro componente de la tríada, Emotet, ha perdido cada vez más sus raíces bancarias troyanas y ahora está intentando utilizar los compromisos de correo electrónico de negocios para difundir y retirar efectivo.

Trickbot actualmente tiene más de una docena de módulos diferentes, desde paquetes de software program que permiten la propagación de gusanos, hasta application de reconocimiento que recopila información sobre sistemas, hasta programas de administración remota que permiten a un atacante acceder a sistemas comprometidos.

El grupo también tiene una extensa infraestructura C2. Casi 3.000 servidores están dedicados a administrar sistemas comprometidos, mientras que otros 556 servidores se utilizan para descargar actualizaciones.

Si bien la infraestructura de Trickbot sugiere un grupo conectado al trabajo de espionaje, la atribución es complicada, dice Arsene de BitDefender.

«La estructura de comando y regulate se basa principalmente en Rusia. Luego, tiene un módulo que apunta principalmente a una lista de verticales (telecomunicaciones, educación, ciencia e investigación) dentro de dos países diferentes, Estados Unidos y Hong Kong, » él dice. «No podemos poner nuestros dedos sobre ninguna pieza y decir: &#39Esta es la evidencia forense que indica que se trata de un ataque de estado-nación&#39».

Las empresas deben asegurarse de que las aplicaciones de application vulnerables no tengan puertos expuestos a Internet, dice Arsene. Además, los atacantes suelen atacar a los empleados, por lo que educar a la fuerza laboral puede ayudar a fortalecer una organización.

«La infección inicial generalmente ocurre a través de correos electrónicos de phishing, por lo que eso significa que debe capacitar a los empleados», dice.

Las empresas también deberían investigar diferentes formas de ofuscar su infraestructura de acceso remoto, especialmente con muchos más empleados trabajando desde casa. «Debe poder ver si algo sucede en su purple», dice Arsene.

Contenido relacionado:

Echa un vistazo a The Edge, la nueva sección de Dim Reading through para obtener características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Lecciones de seguridad que hemos aprendido (hasta ahora) de COVID-19».

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Studying, MIT&#39s Technological innovation Assessment, Well-known Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más ideas





Enlace a la noticia authentic