Home Sociedad Malware utilizado para atacar a Ucrania, disponible en en la Dark Web

Malware utilizado para atacar a Ucrania, disponible en en la Dark Web

Venafi ha advertido que las sofisticadas técnicas de malware de puerta trasera utilizadas por los atacantes respaldados por el Estado para paralizar las centrales eléctricas ucranianas, en 2015, están siendo desplegadas más ampliamente por la comunidad de sombreros negros.

El malware en cuestión tiene como objetivo las claves SSH, que están diseñadas para asegurar los comandos remotos y las comunicaciones entre máquinas. Como tal, son fundamentales para asegurar las cargas de trabajo en la nube, las conexiones VPN, los dispositivos de IO conectados y más.

El compromiso de una sola clave SSH podría dar a los atacantes acceso de raíz no detectado a sistemas de misión crítica para propagar malware o sabotear procesos, advirtió el proveedor de seguridad.

Ahora está viéndose que el malware añade las claves SSH de los atacantes a una lista de archivos de claves autorizadas en las máquinas víctimas, lo que significa que su máquina confía en la clave. Otras técnicas incluyen la fuerza bruta para forzar una débil autentificación de SSH para obtener acceso y moverse lateralmente a través de las redes.

Estas técnicas han sido observadas en uso durante el último año por la red de botnets de crimeware TrickBot, la campaña de criptografía CryptoSink, Linux Worm y Skidmap, dijo Venafi. Eso está muy lejos de la relativamente rara visión de un servidor SSH con backdodoors que está siendo usado por la pandilla BlackEnergy en diciembre de 2015. Ese ataque causó cortes masivos de energía en partes de Ucrania.

“Las llaves de SSH pueden ser armas potentes en las manos equivocadas. Pero hasta hace poco, sólo los grupos de ciberdelincuentes más sofisticados y bien financiados tenían este tipo de capacidad. Ahora, estamos viendo un efecto de ‘goteo’, donde las capacidades de SSH se están convirtiendo en una mercancía”, advirtió Yana Blachman, especialista en inteligencia de amenazas de Venafi.

“Lo que hace que esta mercantilización sea tan preocupante es que si un atacante es capaz de ocultar un objetivo potencialmente interesante, puede monetizar este acceso y venderlo a través de canales dedicados a atacantes más sofisticados y patrocinados, como las amenazas del estado nacional con el propósito de ciberespionaje o ciberguerra”.

Esto ya ha sucedido antes, cuando se descubrió que la banda de TrickBot estaba vendiendo un “bot-as-a-service” a los hackers norcoreanos, afirmó.

Para combatir tales amenazas, las organizaciones necesitan tener una clara visibilidad y protección de todas las claves autorizadas de SSH en la empresa, para evitar que sean secuestradas y bloquear los intentos de los atacantes de insertar sus propias identidades de máquinas maliciosas de SSH en los sistemas.

Otras técnicas incluyen la fuerza bruta para forzar una débil autentificación de SSH para obtener acceso y moverse lateralmente a través de las redes.

Estas técnicas han sido observadas en uso durante el último año por la red de botnets de crimeware TrickBot, la campaña de criptografía CryptoSink, Linux Worm y Skidmap, dijo Venafi. Eso está muy lejos de la relativamente rara visión de un servidor SSH con backdodoors que está siendo usado por la pandilla BlackEnergy en diciembre de 2015. Ese ataque causó cortes masivos de energía en partes de Ucrania.

“Las llaves de SSH pueden ser armas potentes en las manos equivocadas. Pero hasta hace poco, sólo los grupos de piratas informáticos más sofisticados y bien financiados tenían este tipo de capacidad. Ahora, estamos viendo un efecto de ‘goteo’, donde las capacidades de SSH se están convirtiendo en una mercancía”, advirtió Yana Blachman, especialista en inteligencia de amenazas de Venafi.

“Lo que hace que esta mercantilización sea tan preocupante es que si un atacante es capaz de ocultar un objetivo potencialmente interesante, puede monetizar este acceso y venderlo a través de canales dedicados a atacantes más sofisticados y patrocinados, como las amenazas del estado nacional con el propósito de ciberespionaje o ciberguerra”.

Esto ya ha sucedido antes, cuando se descubrió que la banda de TrickBot estaba vendiendo un “bot-as-a-service” a los delincuentes norcoreanos, afirmó.

Para combatir tales amenazas, las organizaciones necesitan tener una clara visibilidad y protección de todas las claves autorizadas de SSH en la empresa, para evitar que sean secuestradas y bloquear los intentos de los atacantes de insertar sus propias identidades de máquinas maliciosas de SSH en los sistemas.

Con información de: Info Security Magazine.