Las cepas TrickBot y Emotet hacen que la inyección de proceso sea la técnica de ataque más frecuente


Un estudio de Red Canary analizó seis millones de clientes potenciales para determinar las amenazas y descubrió que los gusanos tuvieron el impacto más significativo en 2019.

Mimecast rastrea la tendencia de Malware-as-a-Service en el análisis de 202 mil millones de correos electrónicos
La compañía de seguridad de software identificó 92 mil millones de correos maliciosos en el cuarto trimestre y un aumento en Emotet y ransomware.

Los investigadores de la empresa de seguridad cibernética Red Canary analizaron aproximadamente 15,000 amenazas confirmadas en 2019 para determinar qué amenazas son las más frecuentes, y encontraron que los gusanos, que según el informe son "amenazas que aprovechan el movimiento lateral automatizado para infectar tantos sistemas como sea posible", tenían impacto más significativo en el ranking de este año. En canario rojo Informe de detección de amenazas 2020, La compañía analizó seis millones de pistas de investigación desde enero de 2019 hasta diciembre de 2019, perfeccionando las técnicas de ciberataque más frecuentes que enfrentan las organizaciones en todo el mundo.

Debido a que los datos de Red Canary se basan en operaciones y análisis de seguridad actualizados, y no solo en la respuesta a incidentes, su equipo tiene una óptica única en tradecraft y tendencias que abarcan el ciclo de vida del ataque. Las cepas de malware como TrickBot y Emotet se generalizaron según los especialistas en detección y respuesta a amenazas de Red Canary.

"Una abundancia de amenazas que exhiben un comportamiento similar a un gusano es quizás la tendencia más clara del Informe de Detección de Amenazas 2020, y TrickBot es el principal impulsor de esta actividad. Otra tendencia que se destaca es el uso de herramientas de administración remota y administración de redes para el movimiento lateral y ejecución ", decía el informe.

"El uso de gusanos, TrickBot y / o herramientas de administración remota no explican la prevalencia de estas técnicas por completo, pero juegan un papel importante. Anecdóticamente, los gusanos se hicieron cada vez más comunes durante la segunda mitad de la década de 2010. Esta tendencia fue subrayada primero por una avalancha de incidentes de ransomware que afectaron a hospitales en 2016, brotes de WannaCry y NotPetya en 2017, y más recientemente por ataques de ransomware a gran escala en organizaciones gubernamentales municipales en 2019. El Informe de detección de amenazas 2020 no solo respalda esta tendencia con datos, sino que también también ofrece ejemplos específicos de cómo este nuevo paradigma a menudo se desarrolla ", según el estudio.

VER: 10 formas de minimizar las infecciones de malware sin archivos (PDF gratuito) (TechRepublic)

El informe encontró que, en función del porcentaje de amenazas totales, las 10 técnicas principales utilizadas en los ataques fueron la inyección de procesos, que representaba el 17% de todas las amenazas, las tareas programadas y los recursos compartidos de administración de Windows con el 13%, PowerShell, copia remota de archivos, enmascaramiento, secuencias de comandos , Secuestro de órdenes de búsqueda de DLL, descubrimiento de confianza de dominio y desactivación de herramientas de seguridad.

Según el ingeniero de detección de Red Canary Jason Killam, la inyección de procesos es una técnica utilizada por los ciberatacantes para mezclar la actividad maliciosa con los procesos del sistema operativo que son bastante rutinarios.

"Su función más útil puede ser que el código arbitrario, una vez inyectado en un proceso legítimo, pueda heredar los privilegios de ese proceso o, de manera similar, acceder a partes del sistema operativo que de otro modo no deberían estar disponibles", escribió Killam.

Las tareas programadas están diseñadas de manera similar para aprovechar las funciones normales al permitir que los ciberdelincuentes realicen ciertas acciones en momentos predeterminados, lo que permite la ejecución, la persistencia y la escalada de privilegios.

El director de investigación y detección avanzada de amenazas de Red Canary, Michael Haag, dijo que las tareas programadas son un componente funcionalmente necesario del sistema operativo Windows, y agregó que se ejecutan de manera rutinaria y que las tareas maliciosas se combinan fácilmente con las benignas.

"Las tareas programadas representan una herramienta versátil para los adversarios. Con los privilegios necesarios, un atacante puede programar tareas de forma remota. La técnica también es útil para la ejecución y la persistencia junto con una variedad de lenguajes de secuencias de comandos ampliamente utilizados, como PowerShell", dijo Haag.

El ingeniero de detección Keya Horiuchi escribió que los recursos compartidos de administración de Windows están habilitados de forma predeterminada en la mayoría de los sistemas Windows y, debido a que a menudo se usan para manejar la administración remota del host, brindan a los atacantes una forma sencilla de moverse lateralmente en silencio dentro de un entorno.

Según Horiuchi, los mineros de ransomware y criptomonedas autopropagables, ambas amenazas que surgen rápidamente, confían en las acciones de administración de Windows.

Todas estas técnicas fueron parte de los esfuerzos para difundir diferentes tipos de malware que sirvieron para diferentes propósitos criminales. El estudio explica que el ransomware TrickBot, Emotet y Ryuk se usaron juntos para extraer la mayor cantidad de información posible e infligir un daño significativo.

"TrickBot es con frecuencia parte de un trío de infecciones que comienza con el troyano Emotet y termina en una infección de Ryuk ransomware. En esencia, Emotet infecta a sus anfitriones y carga TrickBot, que roba credenciales de las máquinas infectadas mientras se mueve lateralmente alrededor de una red. Una vez TrickBot ha seguido su curso, deja caer el ransomware Ryuk, que encripta todos los hosts infectados en una red y exige un pago de rescate para desbloquearlos ", encontró el informe.

Técnicas como la inyección de procesos fueron clave para la funcionalidad de TrickBot porque podían ejecutar código arbitrario a través de un host de servicio de Windows, mientras que otros ataques como los archivos adjuntos de Spearphishing y Powershell se aprovecharon más por Emotet.

Parte de por qué la inyección de proceso era tan importante en la lista fue porque la mayoría de los clientes de Red Canary acudieron a ellos preocupados después de que Emotet ya había hecho su daño y TrickBot estaba infectando una cantidad significativa de sus dispositivos. Para otras compañías donde Red Canary está más involucrado en el monitoreo de seguridad, pudieron detectar y detener las amenazas de Emotet antes de poder propagarse a través de un sistema.

El informe también desglosó el informe por las amenazas prominentes en cada industria. Para la educación, las tareas programadas y las acciones de administración de Windows fueron las más destacadas, mientras que las empresas financieras y minoristas fueron las que más sufrieron las técnicas como PowerShell y la eliminación de credenciales.

Las industrias minoristas y de energía fueron las más afectadas por PowerShell, mientras que la salud, la fabricación y la tecnología fueron atacadas con la inyección de procesos.

Keith McCammon, cofundador y jefe de seguridad de Red Canary, dijo que las organizaciones deben comprender el panorama de amenazas y las técnicas utilizadas por los atacantes para priorizar sus inversiones en tecnología y experiencia.

"Comience mirando los 10 principales de manera integral, no como una lista de técnicas dispares. Preste atención a lo que las técnicas tienen en común: muchas aprovechan las funciones de la plataforma central o son herramientas administrativas poderosas. Son cosas que no puede desactivar, pero debe controlar ", dijo McCammon.

"En muchos casos, tiene opciones que van desde productos puntuales hasta funciones de sistema operativo gratuitas y fácilmente disponibles", dijo. "Luego, implemente tanta visibilidad como pueda permitirse". No puede detectar, investigar o responder a amenazas que no puede ver. Obtener visibilidad lo coloca en una posición para detectar las amenazas que sus controles preventivos pasan por alto. Finalmente, obtenga valor de esta visibilidad implementando y operacionalizando una gran cobertura de detección. Esto debería incluir inteligencia de amenazas, ingeniería de detección, clasificación y análisis ".

Ver también

gusano

Imagen: Getty Images / iStockphoto



Enlace a la noticia original