[16/03/2023] Durante cada trimestre del año pasado, entre el 10% y el 16% de las organizaciones tuvieron tráfico DNS originado en sus redes hacia servidores de comando y control (C2) asociados con botnets conocidos y otras amenazas de malware, según un informe del proveedor de redes de entrega de contenido y en la nube Akamai.
Más de una cuarta parte de ese tráfico se dirigió a servidores pertenecientes a intermediarios de acceso inicial, atacantes que venden acceso a redes corporativas a otros ciberdelincuentes, según el informe. "Al analizar el tráfico DNS malicioso tanto de usuarios empresariales como domésticos, pudimos detectar varios brotes y campañas en el proceso, como la propagación de FluBot, un malware basado en Android que se mueve de país en país por todo el mundo, así como la prevalencia de varios grupos de ciberdelincuentes dirigidos a empresas", sostuvo Akamai. "Tal vez el mejor ejemplo sea la presencia significativa de tráfico C2 relacionado con los intermediarios de acceso inicial (IAB) que violan las redes corporativas y monetizan el acceso vendiéndolo a otros, como los grupos de ransomware como servicio (RaaS)".
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Akamai opera una gran infraestructura DNS para su CDN global y otros servicios en la nube y de seguridad, y es capaz de observar hasta siete billones de peticiones DNS al día. Dado que las consultas DNS intentan resolver la dirección IP de un nombre de dominio, Akamai puede mapear las solicitudes que se originan desde redes corporativas o usuarios domésticos a dominios maliciosos conocidos, incluyendo aquellos que alojan páginas de phishing, sirven malware o se utilizan para C2.
El malware podría afectar a un gran número de dispositivos
Según los datos, entre el 9% y el 13% de todos los dispositivos vistos por Akamai realizando peticiones DNS cada trimestre, intentaron llegar a un dominio que servía malware. Entre el 4% y el 6% intentaron resolver dominios de phishing conocidos, y entre el 0,7% y el 1% intentaron resolver dominios C2.
El porcentaje de dominios C2 puede parecer pequeño a primera vista en comparación con los dominios de malware, pero hay que tener en cuenta que estamos hablando de un conjunto muy grande de dispositivos, capaces de generar siete billones de peticiones DNS al día. Una solicitud a un dominio de alojamiento de malware no se traduce necesariamente en un compromiso exitoso porque el malware puede ser detectado y bloqueado antes de que se ejecute en el dispositivo. Sin embargo, una consulta a un dominio C2 sugiere una infección activa de malware.
Las organizaciones pueden tener miles o decenas de miles de dispositivos en sus redes y un solo dispositivo comprometido puede llevar a la toma completa de la red, como en la mayoría de los casos de ransomware, debido a que los atacantes emplean técnicas de movimiento lateral para saltar entre los sistemas internos. Cuando se ven los datos de DNS C2 de Akamai por organización, más de una de cada 10 organizaciones tuvo un compromiso activo el año pasado.
"Basándonos en nuestros datos DNS, vimos que más del 30% de las organizaciones analizadas con tráfico C2 malicioso pertenecen al sector manufacturero", dijeron los investigadores de Akamai. "Además, las empresas de los verticales de servicios empresariales (15%), alta tecnología (14%) y comercio (12%) se han visto afectadas. Los dos principales sectores verticales en nuestros datos DNS (fabricación y servicios empresariales) también coinciden con las principales industrias afectadas por el ransomware Conti".
Los botnets representan el 44% del tráfico malicioso
Akamai desglosó el tráfico C2 en varias categorías: botnets, intermediarios de acceso inicial (IAB), infostealers, ransomware, troyanos de acceso remoto (RAT) y otros. Las botnets fueron la principal categoría, con un 44% del tráfico malicioso C2, sin tener en cuenta algunas botnets destacadas como Emotet o Qakbot, cuyos operadores se dedican a vender acceso a sistemas y, por tanto, se incluyeron en la categoría IAB. Sin embargo, la mayoría de las redes de bots pueden utilizarse técnicamente para distribuir cargas útiles de malware adicionales y, aunque sus propietarios no vendan públicamente este servicio, algunos tienen acuerdos privados. Por ejemplo, la red de bots TrickBot tenía una relación de trabajo privada con los ciberdelincuentes responsables del ransomware Ryuk.
La mayor red de bots observada por Akamai en el tráfico C2 procedente de entornos empresariales es QSnatch, que se basa en un malware que infecta específicamente el firmware de dispositivos de almacenamiento en red (NAS) QNAP obsoletos. QSnatch apareció por primera vez en el 2014 y sigue activo hasta la fecha. Según un aviso de CISA, a mediados del 2020 había más de 62 mil dispositivos infectados en todo el mundo. QSnatch bloquea las actualizaciones de seguridad y se utiliza para el raspado de credenciales, el registro de contraseñas, el acceso remoto y la exfiltración de datos.
Los IAB fueron la segunda categoría más importante en el tráfico DNS C2, siendo las mayores amenazas de este grupo Emotet, con el 22% de todos los dispositivos infectados, y Qakbot, con el 4%. Emotet es una de las mayores y más antiguas redes de bots utilizadas por múltiples grupos de ciberdelincuentes para acceder por primera vez a las redes corporativas. Además, a lo largo de los años, Emotet se ha utilizado para desplegar otras redes de bots, como TrickBot y Qakbot.
Malware vinculado a conocidas bandas de ransomware
En el 2021, las fuerzas de seguridad de varios países, entre ellos Estados Unidos, Reino Unido, Canadá, Alemania y Países Bajos, lograron hacerse con el control de la infraestructura de mando y control de la red de bots. Sin embargo, el desmantelamiento fue efímero y la red de bots ha vuelto con una nueva iteración. Emotet comenzó como un troyano bancario en línea, pero se ha transformado en una plataforma de distribución de malware con múltiples módulos que también proporcionan a sus operadores la capacidad de robar correos electrónicos, lanzar ataques DDoS y mucho más. Emotet también tenía relaciones conocidas con bandas de ransomware, sobre todo con Conti.
Al igual que Emotet, Qakbot es otra red de bots que se utiliza para enviar cargas útiles adicionales y mantiene relaciones de trabajo con bandas de ransomware, por ejemplo, Black Basta. También se sabe que el malware aprovecha la herramienta de pruebas de penetración Cobalt Strike para aumentar su funcionalidad y persistencia, y que tiene capacidad para robar información.
Aunque se sabe que las botnets distribuyen ransomware, una vez desplegados estos programas tienen sus propios C2 que también están representados en los datos DNS de Akamai. Más del 9% de los dispositivos que generaron tráfico C2 lo hicieron a nombres de dominio asociados con amenazas conocidas de ransomware. De ellos, REvil y LockBit fueron los más comunes.
"Nuestro reciente análisis de la metodología de los grupos modernos de ransomware, como el grupo Conti, mostró que los atacantes sofisticados a menudo asignan operadores para trabajar 'con las manos en el teclado' con el fin de progresar rápida y eficientemente en un ataque", dijeron los investigadores de Akamai. "La capacidad de ver y bloquear el tráfico C2 puede ser fundamental para detener un ataque en curso".
Los infostealers fueron la tercera categoría más popular por tráfico C2, representando el 16% de los dispositivos observados por Akamai. Como su nombre indica, estos programas maliciosos se utilizan para robar información que puede ser valiosa para los atacantes y favorecer otros ataques, como nombres de usuario y contraseñas de diversos servicios, cookies de autenticación almacenadas en los navegadores, y otras credenciales almacenadas localmente en otras aplicaciones. Ramnit, un infostealer modular que también puede utilizarse para desplegar malware adicional, fue la principal amenaza observada en esta categoría. Otras amenazas notables observadas en el tráfico C2 fueron Cobalt Strike, la RAT Agent Tesla, el gusano Pykspa y el virus polimórfico Virut.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú