Las herramientas de Netwalker Ransomware revelan tácticas de ataque …


El malware y los archivos relacionados muestran que los operadores de ransomware no necesitan un arsenal de vanguardia para ser efectivos.

Un conjunto de herramientas de malware y archivos relacionados con los que los investigadores de Sophos se encontraron recientemente proporcionan una visión rara de las tácticas y técnicas que algunos actores de amenazas están utilizando para implementar el ransomware en estos días.

Los investigadores descubrieron el malware mientras investigaban Netwalker, una familia de ransomware que se ha utilizado en varios ataques recientes contra grandes organizaciones en múltiples sectores en los EE. UU., Australia y Europa.

Su análisis mostró que el conjunto de herramientas contiene un conjunto relativamente completo de malware para todo, desde realizar reconocimientos hasta detectar información valiosa, escalar privilegios, robo de credenciales, contraseñas de fuerza bruta y evadir herramientas de detección de intrusos.

El malware incluye herramientas para explotar vulnerabilidades específicas en entornos Windows y entornos de servidores heredados, como Tomcat y WebLogic.

Curiosamente, una proporción sustancial de las herramientas en la cartera de Netwalker se obtuvieron del dominio público e incluyeron las llamadas herramientas de sombrero gris como Mimikatz para el volcado de contraseñas.

Andrew Brandt, investigador principal de Sophos, dice que el conjunto de herramientas es otro recordatorio de por qué las herramientas de ataque no tienen que ser especialmente sofisticadas para ser efectivas.

«Las técnicas y herramientas que utilizan no son innovadoras ni nuevas, pero siguen siendo extremadamente eficaces a medida que los equipos de TI continúan luchando para controlar lo que se está ejecutando en sus redes y lo que se puede acceder a través del firewall», dice Brandt.

De acuerdo con Sophos, la estrategia utilizada por los atacantes de Netwalker para obtener un punto de apoyo inicial en una crimson empresarial sigue sin estar clara. Pero las herramientas sugieren que tienen la capacidad de aprovechar las vulnerabilidades muy publicitadas en Windows y otros entornos para entrar en redes vulnerables.

El conjunto de herramientas de Netwalker también incluye uno llamado NLBrute, que los atacantes han configurado para entrar en sistemas con servicios de escritorio remoto (RDP) débilmente habilitados. Sophos descubrió que NLBrute está configurado para usar un conjunto específico de nombres de usuario y contraseñas para intentar ingresar a los servicios RDP.

«Las listas (nombre de usuario y contraseña) sirven como una buena guía para lo que no se debe hacer cuando se trata de elegir contraseñas complejas», dice Brandt.

Sophos descubrió que una vez que los atacantes obtienen acceso a una pink, utilizan herramientas comúnmente disponibles, como SoftPerfect Community Scanner, para buscar y crear listas de computadoras con puertos SMB abiertos. Luego usan productos como Mimikatz, Mimidogz o Mimikittenz para obtener credenciales de estos sistemas.

El conjunto de herramientas posteriores a la explotación en el arsenal de Netwalker incluye varias para la escalada de privilegios. Entre ellos se encuentran las vulnerabilidades de un mistake de ejecución de código remoto recientemente revelado en la tecnología de bloque de mensajes del servidor (SMB v3) de MicrosoftCVE-2020-0796), una vulnerabilidad de escalada de privilegios locales en Home windows (CVE-2019-1458), Y una falla de 2015 llamada «Muñeca rusa» (CVE-2015-1701).

Para la implementación del ransomware en sí, los atacantes han estado utilizando un script de cargador PowerShell muy ofuscado y herramientas de orquestación que usan controladores de dominio para distribuir malware a cualquier máquina que los controladores de dominio puedan alcanzar.

Herramientas disponibles públicamente
Curiosamente, varias de las herramientas que los operadores de Netwalker están utilizando para eliminar las herramientas de detección de malware de punto remaining de Home windows son de proveedores de seguridad legítimos. Entre las herramientas en esta categoría que descubrieron los investigadores de Sophos se encuentran WorryFree Uninstall de Trend Micro, AV Remover de ESET y Microsoft Stability Consumer Uninstall.

Al igual que las herramientas de eliminación de software antivirus, la mayoría de las otras herramientas que utilizan los operadores de Netwalker en las campañas de ransomware son productos disponibles públicamente. Entre ellos se encuentran Mimikatz, Windows Credential Editor, pwdump, SoftPerfect Community Scanner, psexec, Teamviewer y Anydesk.

Brandt dice que las herramientas y tácticas que los atacantes están utilizando para implementar el ransomware Netwalker podrían haberse considerado de vanguardia incluso hace dos años, pero ahora son relativamente viejas.

«Estos atacantes no están abriendo camino», dice.

Al mismo tiempo, es un mistake subestimar el daño que estos atacantes pueden causar o el costo de limpiar después de ellos.

«Estos atacantes no se han ralentizado, ya que hemos visto evidencia de nuevas cargas útiles de malware creadas incluso esta semana», dice Brandt. «Por lo tanto, tan rudimentarios como son, aún deben ser algo efectivos».

Para las organizaciones, las amenazas como Netwalker resaltan la necesidad de una higiene básica de seguridad, dice. Los ataques de fuerza bruta contra RDP o aquellos que buscan explotar el problema de EternalBlue en el protocolo SMB, por ejemplo, deberían ser relativamente fáciles de proteger para las organizaciones siempre que se esfuercen por abordarlos, dice.

«Me pregunto qué requerirá que todos comprendan que estos riesgos no son insuperables y que acepten tomar su medicamento parche». Brandt dice.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia original