Esas
son las cinco palabras que nadie quiere ver aparecer en su pantalla. De hecho,
los investigadores de Websense® Security Labs™ han identificado una táctica que
resulta interesante en la proliferación del ransomware Crypto.
http://community.websense.com/resized-image.ashx/__size/550x0/__key/CommunityServer.Blogs.Components.WeblogFiles/securitylabs/4274.mal_5F00_polish_5F00_angler_5F00_teslacrypt_5F00_lure4.png
Uno
de los ejemplos más conocidos es aquel que se aprovecha de la vulnerabilidad,
muy humana, relativa al temor de recibir una multa de tránsito. En los casos más recientes, los atacantes
decidieron utilizar el sofisticado kit de explotación Angler con el fin de
aprovechar las vulnerabilidades del software. Y si se le ofreciera la
oportunidad de “convertir un dólar en cien dólares inmediatamente” o “invertir
$1 dólar hoy y ganar $1000 dólares mañana”, o si se le preguntara “¿Necesita
dinero ahora?” ¿Eso despertaría su interés? Por supuesto que los atacantes
esperaban que las víctimas polacas a las que estaban dirigiéndose
específicamente cayeran en la tentación.
http://community.websense.com/resized-image.ashx/__size/550x0/__key/CommunityServer.Blogs.Components.WeblogFiles/securitylabs/3301.tesla_5F00_screenshot.png
En
un principio se identificó esta variante cuando se monitorearon las campañas de
correo electrónico que alentaban a los destinatarios a dar clic en los URLs
hospedados en páginas comprometidas. Los spammers utilizan URLs de sitios
comprometidos para asegurar un índice de clics más alto en sus mensajes. Los
sitios comprometidos resultan mucho menos sospechosos para una víctima
perspicaz que los sitios que se han registrado recientemente. Lo que es
interesante es que los atacantes están haciendo que los sitios comprometidos
entreguen spam en la mayoría de los casos, pero cuando una víctima potencial
llega al sitio comprometido es redirigida al malware. En este caso, el malware
es Teslacrypt el cual se entrega a través del kit de explotación Angler. Cabe
señalar que también se ha entregado Teslacrypt a través de varios otros kits en
el pasado.
Al
emular el URL señuelo en el Websense File Sandbox, pudimos seguir la cadena de infección desde el señuelo de
correo electrónico a través del kit de explotación Angler, hasta la eventual
ejecución de Teslacrypt en el sistema. El atacante trató de ser lo más sigiloso
posible para evadir la detección en varias etapas de la cadena de ataque.
El
atacante puede beneficiarse de tres maneras al utilizar el kit de explotación
Angler:
1. Angler es capaz de infectar con “un
clic”. Las víctimas tienen posibilidades considerablemente bajas de darse
cuenta de que lo que se les está pidiendo hacer no es legítimo.
2. Angler hace una entrega “sin archivos”.
La aplicación sospechosa nunca se graba en el disco duro de la víctima,
reduciendo considerablemente así la posibilidad de que el software antivirus
(AV) la detecte. Se ha demostrado que Angler identifica el antivirus antes de
decidir si grabar el malware en el sistema o almacenarlo en la memoria.
3. Angler permite entregar malware cifrado.
El malware que se descarga no luce como un ejecutable. Esto disminuye la
posibilidad de detectarlo a nivel de la red.
El
siguiente reporte muestra el análisis de Websense File Sandbox para la entrega
basada en archivos de TeslaCrypt:
http://community.websense.com/resized-image.ashx/__size/550x0/__key/CommunityServer.Blogs.Components.WeblogFiles/securitylabs/5025.ts_5F00_report.png
La
comunicación de comando y control se muestra a continuación:
http://community.websense.com/resized-image.ashx/__size/550x0/__key/CommunityServer.Blogs.Components.WeblogFiles/securitylabs/4861.c2.png
El
conjunto de comportamientos sospechosos permite que la entrega basada en
archivos se identifique más fácilmente como un archivo ejecutable malicioso. El
método de entrega sin archivos hace que el proceso de infección se realice con
más sigilo.
La
detección estática fue considerablemente menos efectiva que el análisis de
sandbox con únicamente 20 por ciento de detección Total de Virus al momento de
redactar este blog.
http://community.websense.com/resized-image.ashx/__size/550x0/__key/CommunityServer.Blogs.Components.WeblogFiles/securitylabs/3365.vt.png
Este
bajo índice de detección sólo empeorará con el mecanismo de entrega sin
archivos, ya que el software antivirus ni siquiera podría tener la oportunidad
de analizar el archivo.
Mitigación
Los
clientes de Websense están protegidos desde la entrega inicial a través del
correo electrónico con TRITON AP-EMAIL. Si los usuarios reciben contenido
malicioso, se ofrecerá protección vía ACE, el Websense Advanced Classification
Engine, en las diferentes etapas de la cadena de ataque como se detalla a
continuación:
· Etapa 2 (Señuelo) – ACE cuenta con
protección contra la entrega de correo electrónico malicioso y los sitios web a
los que se les ha inyectado contenido malicioso que lleva al contenido del kit
de explotación
· Etapa 3 (Redireccionamiento) – ACE
cuenta con protección contra los redireccionamientos que se sabe están
asociados a Angler
· Etapa 4 (Kit de Explotación) – ACE
cuenta con protección contra el kit de explotación Angler
· Etapa 5 (Dropper) – El sandboxing de
archivos de ACE identifica los binarios maliciosos asociados a Angler y
TeslaCrypt
· Etapa 6 (Call Home) – ACE cuenta con
detección para el tráfico de comando y control que se sabe está asociado a
TeslaCrypt
Resumen
En
el caso del señuelo de correo electrónico, los atacantes inyectaron código en
los sitios comprometidos y enviaron los enlaces a este contenido a través del
correo electrónico. Los investigadores de Websense pudieron crear una analítica
para seguir este código inyectado en las miles de millones de piezas de tráfico
web analizadas por su producto todos los días. A partir de esto, pudimos
identificar que los atacantes utilizaron el sitio comprometido de forma
oportunista para entregar spam a las masas y malware a víctimas específicas. En
este caso, el código se inyectó en varios sitios populares. Dado el reciente
incremento de las infecciones de TeslaCrypt y el hecho de que se sabe que
Angler ha estado involucrado en varios incidentes de alto perfil, hay razones
de sobra para creer que los atacantes hicieron todo lo posible por infectar a
tantos usuarios como pudieron de manera oportunista. Este modo de infección de
cero clics o drive-by le da a la víctima una oportunidad remota de tomar las
decisiones correctas para evitar la infección. Se requiere de una defensa a
profundidad en varias etapas de esta cadena de ataques para lidiar con amenazas
complejas como esta.
Para
obtener más información por favor visite el blog de Websense Security Labs:
http://community.websense.com/blogs/securitylabs/archive/2015/04/29/turn-1-into-100-right-away-your-personal-files-are-encrypted.aspx
Acerca
de Websense, Inc.
Websense,
Inc. es un líder mundial en la protección de las organizaciones contra los
ataques cibernéticos más recientes y el robo de datos. Websense TRITON® APX
proporciona seguridad cibernética avanzada y adaptable, que protege los datos
críticos donde quiera que residan y brinda inteligencia procesable en todo el
ciclo de vida de la amenaza. Nuestras soluciones de seguridad integrales
unifican la seguridad web, de correo electrónico, la seguridad móvil, de los
datos y la seguridad en dispositivos finales para prevenir el robo de datos.
Más de 21,000 empresas en 155 países confían en Websense para detener amenazas
persistentes avanzadas, ataques dirigidos y malware que está en constante
evolución. Websense previene fugas de datos, robo de la propiedad intelectual y
aplica el cumplimiento de la seguridad y de las mejores prácticas. Una red
mundial de socios de canal distribuyen, implementan y soportan nuestras
soluciones.
Para
tener acceso al conocimiento de seguridad más reciente de Websense y conectarse
con nosotros a través de las redes sociales por favor visite
www.websense.com/smc. Para más
información visite www.websense.com/latam
y www.websense.com/triton.
Conozca
más acerca de Websense y síganos en Twitter en: twitter.com/WebsenseLatam y
twitter.com/websense.
No hay comentarios:
Publicar un comentario