Entropy: el ransomware que adoptó el código de la botnet Dridex

Sophos lanzó el estudio Dridex Bots Deliver Entropy in Recent Attacks, que detalla las similitudes de código en la botnet Dridex y el ransomware conocido, Entropy.

La compañía descubrió las similitudes mientras investigaba dos incidentes en los que los atacantes usaron Dridex para lanzar el ransomware Entropy. Estos ataques se dirigieron a una empresa del sector de medios de comunicación y una agencia gubernamental, utilizando versiones personalizadas en algunas de las computadoras de los objetivos.

Los atacantes extrajeron datos a proveedores de almacenamiento en la nube utilizando la herramienta de compresión legítima WinRAR, antes de lanzar el ransomware en equipos desprotegidos.

Para Andrew Brandt, investigador principal de Sophos, no es extraño que los operadores de malware compartan, tomen prestado o roben el código de otros, ya sea para ahorrarse el esfuerzo de crear su propia atribución, engañar intencionalmente o distraer a los investigadores de seguridad.

“Este enfoque hace que sea más difícil encontrar evidencia que corrobore una ‘familia’ de malware relacionado o identificar ‘señales falsas’ que pueden facilitar el trabajo de los atacantes y dificultar el trabajo de los investigadores”, manifestó.

El analista menciona que en este análisis, Sophos se centró en aspectos del código que aparentemente tanto Dridex como Entropy usaban para hacer que el análisis fuera más desafiante. Estos incluyen el código de empaquetado, que evita el análisis estático fácil del malware subyacente, una rutina que los programas usan para ocultar las llamadas de comando (API) que realizan y que descifra las cadenas de texto cifradas incrustadas en el malware.

“Los investigadores descubrieron que esos procesos, en ambos programas maliciosos, tienen un flujo de código y una lógica fundamentalmente similares”, explica.

Mismo código, metodología de ataque diferente
Además de encontrar similitudes en el código, los investigadores de Sophos encontraron que en el ataque a la organización de medios, los adversarios utilizaron el exploit ProxyShell para apuntar a un servidor vulnerable para instalar un código malicioso, que luego aprovecharon para difundir balizas Cobalt Strike a otras computadoras. Los atacantes estuvieron en la red durante cuatro meses antes de lanzar Entropy a principios de diciembre de 2021.

En el ataque a la organización del gobierno regional, el objetivo fue infectado con el malware Dridex a través de un archivo adjunto de correo electrónico malicioso. Luego, los atacantes usaron Dridex para propagar malware adicional y moverse lateralmente dentro de la red del objetivo.

El análisis de incidentes muestra que aproximadamente 75 horas después de la detección inicial de un intento de inicio de sesión sospechoso en una máquina, los atacantes comenzaron a robar datos y trasladarlos a una serie de proveedores de nube.

¿Cómo protegerse?
La investigación encontró que en ambos casos, los atacantes pudieron aprovechar sistemas Windows vulnerables y sin parches para abusar de herramientas legítimas. La aplicación periódica de parches de seguridad y la investigación activa de alertas sospechosas por parte de los cazadores de amenazas y los equipos de operaciones de seguridad ayudarán a dificultar que los atacantes obtengan acceso inicial a un objetivo e implementen código malicioso.

Día del Gamer: los cinco ítems para armar o renovar tu set up gamer 

Durante 2008, un grupo de revistas europeas especializadas en gaming puso en marcha la iniciativa de festejar el Día del Gamer el 29 de...

Desarrollan creativos videojuegos para promover el turismo en el Perú

Con el objetivo de promover el turismo en el Perú, la escuela de educación superior Toulouse Lautrec en alianza con la asociación civil Turismo...

Cinco juegos gratuitos de los géneros más demandados para Android

El smartphone se ha convertido en la principal herramienta del día a día de las personas, pues este dispositivo almacena múltiples aplicaciones que cubren...

Todo lo que debes saber de la Semana de la Innovación 2022 de Concytec

El Concytec anunció  la quinta edición de la Semana de la Innovación 2022 y se realizará del lunes 20 al jueves 23 de junio....

“La plataforma de gráficos Arc de hardware, software y servicios permitirán experiencias gráficas de alto rendimiento”

Conversamos con Germán Loureiro, ingeniero técnico especialista en Gaming de Intel para los países emergentes de Latam, comentó sobre las principales características que incorpora...
spot_img

LEAVE A REPLY

Please enter your comment!
Please enter your name here