Entropy: el ransomware que adoptó el código de la botnet Dridex

Sophos lanzó el estudio Dridex Bots Deliver Entropy in Recent Attacks, que detalla las similitudes de código en la botnet Dridex y el ransomware conocido, Entropy.

La compañía descubrió las similitudes mientras investigaba dos incidentes en los que los atacantes usaron Dridex para lanzar el ransomware Entropy. Estos ataques se dirigieron a una empresa del sector de medios de comunicación y una agencia gubernamental, utilizando versiones personalizadas en algunas de las computadoras de los objetivos.

Los atacantes extrajeron datos a proveedores de almacenamiento en la nube utilizando la herramienta de compresión legítima WinRAR, antes de lanzar el ransomware en equipos desprotegidos.

Para Andrew Brandt, investigador principal de Sophos, no es extraño que los operadores de malware compartan, tomen prestado o roben el código de otros, ya sea para ahorrarse el esfuerzo de crear su propia atribución, engañar intencionalmente o distraer a los investigadores de seguridad.

“Este enfoque hace que sea más difícil encontrar evidencia que corrobore una ‘familia’ de malware relacionado o identificar ‘señales falsas’ que pueden facilitar el trabajo de los atacantes y dificultar el trabajo de los investigadores”, manifestó.

El analista menciona que en este análisis, Sophos se centró en aspectos del código que aparentemente tanto Dridex como Entropy usaban para hacer que el análisis fuera más desafiante. Estos incluyen el código de empaquetado, que evita el análisis estático fácil del malware subyacente, una rutina que los programas usan para ocultar las llamadas de comando (API) que realizan y que descifra las cadenas de texto cifradas incrustadas en el malware.

“Los investigadores descubrieron que esos procesos, en ambos programas maliciosos, tienen un flujo de código y una lógica fundamentalmente similares”, explica.

Mismo código, metodología de ataque diferente
Además de encontrar similitudes en el código, los investigadores de Sophos encontraron que en el ataque a la organización de medios, los adversarios utilizaron el exploit ProxyShell para apuntar a un servidor vulnerable para instalar un código malicioso, que luego aprovecharon para difundir balizas Cobalt Strike a otras computadoras. Los atacantes estuvieron en la red durante cuatro meses antes de lanzar Entropy a principios de diciembre de 2021.

En el ataque a la organización del gobierno regional, el objetivo fue infectado con el malware Dridex a través de un archivo adjunto de correo electrónico malicioso. Luego, los atacantes usaron Dridex para propagar malware adicional y moverse lateralmente dentro de la red del objetivo.

El análisis de incidentes muestra que aproximadamente 75 horas después de la detección inicial de un intento de inicio de sesión sospechoso en una máquina, los atacantes comenzaron a robar datos y trasladarlos a una serie de proveedores de nube.

¿Cómo protegerse?
La investigación encontró que en ambos casos, los atacantes pudieron aprovechar sistemas Windows vulnerables y sin parches para abusar de herramientas legítimas. La aplicación periódica de parches de seguridad y la investigación activa de alertas sospechosas por parte de los cazadores de amenazas y los equipos de operaciones de seguridad ayudarán a dificultar que los atacantes obtengan acceso inicial a un objetivo e implementen código malicioso.

Intel Gaming Week: ¿Cuáles son las características que se deben buscar en una PC?

Del 28 de abril al 8 de mayo de 2022, Intel está realizando su Gaming Week, una semana en donde ofrece beneficios a las...

Motorola lanza en Perú el nuevo moto g22

Motorola presentó en Perú el moto g22, nuevo integrante de la familia moto g. Este smartphone está equipado con un sistema de cuatro cámaras...

Motorola edge 30 pro llegó a Perú

Motorola presentó oficialmente el motorola edge 30 pro, un smartphone de gama alta. De esta manera, el fabricante se convierte en la primera compañía...

Qatar 2022 oficializó a vivo como nuevo patrocinador

Recientemente, vivo anunció que será patrocinador de la Copa Mundial de la FIFA Qatar 2022, convirtiéndose en el smartphone oficial del torneo este año....

AWS empleará machine learning para proteger la integridad de los jugadores de la NFL

Cascos de fútbol americano de última generación, sensores de recopilación de datos y una máquina de pruebas de césped son sólo algunos elementos de...
spot_img

LEAVE A REPLY

Please enter your comment!
Please enter your name here