[30/01/2023] Los investigadores de seguridad advierten de que un número cada vez mayor de atacantes están utilizando herramientas legítimas de supervisión y gestión remotas (RMM) en sus ataques para conseguir acceso y control remotos sobre los sistemas. Estas herramientas las utilizan habitualmente los proveedores de servicios gestionados (MSP, por sus siglas en inglés) y los servicios de asistencia de TI, por lo que su presencia en la red y los sistemas de una organización podría no levantar sospechas.
Los investigadores de Cisco Talos informaron esta semana de que una herramienta RMM comercial en particular, llamada Syncro, se observó en un tercio de los casos de respuesta a incidentes en los que participó la empresa durante el cuarto trimestre del 2022. Sin embargo, no fue la única herramienta de este tipo utilizada.
Por separado, en un aviso conjunto de esta semana, la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA, por sus siglas en inglés), la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC, por sus siglas en inglés) de Estados Unidos advirtieron sobre el uso de herramientas RMM en una estafa de reembolso dirigida a los empleados de múltiples agencias federales.
"Esta campaña pone de relieve la amenaza de la actividad cibernética maliciosa asociada con el software RMM legítimo: después de obtener acceso a la red de destino a través de phishing u otras técnicas, los actores cibernéticos maliciosos -desde los ciberdelincuentes hasta las APT patrocinadas por estados-nación- son conocidos por utilizar el software RMM legítimo como puerta trasera para la persistencia y/o el mando y control (C2)", escribieron las agencias en su aviso.
Entrega como ejecutables portátiles autónomos
En los ataques descubiertos por CISA y sus socios, un grupo de atacantes enviaba correos electrónicos de phishing con la temática del servicio de asistencia a los empleados, tanto a sus direcciones de correo electrónico personales como a las emitidas por el gobierno. Estos correos informaban de una costosa renovación de la suscripción cargada a su cuenta, y pedían a los destinatarios que se pusieran en contacto con el departamento de atención al cliente si querían cancelarla y reembolsarla.
El enlace del correo electrónico conducía a un sitio web que solicitaba la descarga de un ejecutable. Si se ejecutaba, este archivo se conectaba a un segundo dominio controlado por los atacantes y descargaba herramientas RMM como ScreenConnect (ahora ConnectWise Control) y AnyDesk en formato ejecutable portátil autónomo. Estos ejecutables portátiles no requieren instalación ni privilegios administrativos y están preconfigurados para conectarse a un servidor RMM operado por los atacantes, lo que les da acceso de escritorio remoto a la máquina.
En esta campaña, los operadores maliciosos daban instrucciones a las víctimas a través del software RMM para que abrieran su cuenta bancaria en el navegador y, a continuación, utilizaban su acceso para modificar el extracto bancario y mostrar que se había emitido un reembolso mayor de lo normal en la cuenta de la víctima. A continuación, se pide a las víctimas que devuelvan el importe sobrante al operador. Esto se conoce como estafa de reembolso y es bastante común desde hace muchos años.
"Aunque esta campaña parece tener una motivación financiera, las organizaciones autoras evalúan que podría conducir a tipos adicionales de actividad maliciosa", escribieron CISA y sus socios en el aviso. "Por ejemplo, los actores podrían vender el acceso a la cuenta de la víctima a otros actores cibercriminales o de amenazas persistentes avanzadas (APT)".
De estafadores a bandas de ransomware y más allá
Mientras tanto, el uso malicioso de RMM que Talos observó se ha asociado principalmente con ataques de ransomware, lo que demuestra que otros tipos de ciberdelincuentes están saltando a esta tendencia. De hecho, los atacantes de ransomware siguieron siendo la causa principal de los compromisos de respuesta a incidentes para Talos durante el trimestre anterior.
En un caso, los atacantes que utilizaban el ransomware Royal, sospechoso de ser una escisión del desaparecido Conti, desplegaron AnyDesk RMM como servicio en la máquina víctima para conseguir persistencia. El mismo afiliado también desplegó marcos de red teaming como Cobalt Strike y Mimikatz, continuando con la tendencia de abusar de herramientas de doble uso.
En un número cada vez mayor de incidentes que terminan con el despliegue del ransomware Royal, los atacantes utilizan primero un dropper de malware llamado BatLoader, que luego despliega Cobalt Strike y otras herramientas y finalmente la carga útil del ransomware. BatLoader es un implante de malware relativamente nuevo, y los investigadores descubrieron que compartía IOC con actividades anteriores de Conti, incluido el despliegue de un agente RMM de Atera.
Una herramienta RMM de la que se abusaba con aún más frecuencia era Syncro, que también fue desplegada por BatLoader pero también por otros atacantes, incluidos los que utilizaban Qakbot, un robainformación de larga duración. Los distribuidores de Qakbot también fueron vistos abusando de otro RMM llamado SplashTop junto con varias herramientas de doble uso para el mapeo de Active Directory como ADFind y SharpHound.
"Este trimestre, casi el 40% de los ataques se basaron en correos electrónicos de phishing utilizados como medio para establecer el acceso inicial, seguido de la ejecución por parte del usuario de un documento o enlace malicioso", señalan los investigadores de Talos en su informe. "En muchos casos, las cuentas válidas o con contraseñas débiles también ayudaron a facilitar el acceso inicial, por lo que el adversario aprovechó las credenciales comprometidas. Es importante señalar que, en la mayoría de los incidentes, Talos IR no pudo determinar razonablemente el vector inicial debido a deficiencias de registro o a la falta de visibilidad en el entorno afectado".
Aparte de las herramientas RMM, el protocolo integrado de escritorio remoto (RDP) de Microsoft sigue siendo explotado por los atacantes para el acceso inicial debido a la escasa higiene de las contraseñas y a la debilidad de los controles de seguridad.
La falta de autenticación multifactor (MFA) en las redes empresariales sigue siendo uno de los mayores puntos débiles. En casi el 30% de los incidentes investigados por Talos, la MFA faltaba por completo o sólo estaba habilitada para unos pocos servicios y cuentas críticos.
"Talos IR observa con frecuencia incidentes de ransomware y phishing que podrían haberse evitado si MFA se hubiera habilitado correctamente en servicios críticos, como soluciones de respuesta de detección de punto final (EDR) o VPN", dijeron los investigadores. "Para ayudar a minimizar los vectores de acceso iniciales, Talos IR recomienda deshabilitar el acceso VPN para todas las cuentas que no estén utilizando la autenticación de dos factores".
PsExec, un sustituto ligero de telnet que permite a los atacantes ejecutar aplicaciones en otros sistemas, sigue siendo una herramienta popular para el movimiento lateral. Talos recomienda que las organizaciones desactiven PsExec en sus sistemas y entornos y utilicen Microsoft AppLocker para bloquear el acceso a otras herramientas de doble uso de las que suelen abusar los atacantes.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú