Los servidores de Cobalt Strike Team fueron la forma de infraestructura de comando y control (C2) más utilizada en 2021 por un margen considerable, seguidos de lejos por Metasploit, Meterpreter, QakBot y TrickBot, con el antiguo e incondicional Emotet desapareciendo después de su eliminación. solo para experimentar un resurgimiento hacia el final del año.
Esto es según los datos recientemente publicados recopilados por Insikt Group de Recorded Future y compartidos con Computer Weekly, que revelan una imagen compleja pero muy informativa de cómo los actores maliciosos preparan y ejecutan sus campañas de ciberdelincuentes.
Solo el año pasado, observó más de 10 000 servidores C2 únicos en más de 80 familias, dominadas por Cobalt Strike Team Servers y familias de botnets. Cobalt Strike representó 3691 (23,7 %) del total de servidores C2 únicos detectados en los últimos 12 meses (podría haber muchos más que estén mejor ofuscados), seguido de Metasploit con 710, QakBot con 571, TrickBot con 468 y Meterpreter con 396. 2021 también vio una mayor adopción de Mythic, Covenant y Sliver.
Tanto su amplio conjunto de funciones como su prevalencia en el uso diario legítimo explican el dominio continuo de la infraestructura de Cobalt Strike, según Greg Lesenewich, analista principal de amenazas de Recorded Future.
“Cobalt Strike es compatible con todas las fases de una intrusión a través de un conjunto de capacidades profundas de desarrolladores oficiales y de terceros y es altamente configurable, lo que lo convierte en una herramienta poderosa para los actores de amenazas y los equipos rojos/púrpura por igual”, dijo Lesenewich.
“Se observa con tanta frecuencia en las intrusiones que su uso es casi omnipresente, lo que hace que sea un poco más difícil atribuir o vincular actividades”.
El año pasado también fue notable porque los corredores de acceso inicial configuraron servidores Cobalt Strike Team listos para usar y los vendieron a la clientela, una tendencia también identificada por otros investigadores de Microsoft y RiskIQ.
La caída y el ascenso de Emotet
En cuanto a las redes de bots específicamente, el análisis del Grupo Insikt confirmó sin lugar a dudas que el desmantelamiento de Emotet el 27 de enero de 2021 dejó un vacío en el mercado de cargadores y redes de bots que otros se apresuraron a llenar, en particular TrickBot, con 571 C2 observados en la naturaleza por el Grupo Insikt.
Otras botnets que tomaron el relevo fueron QakBot con 516 C2 detectados, Bazar o Baza con 405, Dridex con 383 e IcedID con 332. Todos ellos fueron vistos actuando como precursores de ataques de ransomware, con TrickBot y Bazar vinculados a Ryuk y Conti, QakBot favorecido por ProLock y DoppelPaymer, Dridex también se usa mucho en los ataques de DoppelPaymer e IcedID vinculado a Egregor.
Las diversas botnets exhibieron una variación considerable en la cantidad de servidores C2 incorporados a los que hicieron referencia, con Trickbot llamando a un promedio de 20 por configuración de muestra, IcedID y Dridex promediando tres, y Qakbot promediando 142 direcciones IP C2 masivas por configuración.
El resurgimiento de Emotet luego de su reactivación y distribución (inicialmente a través de TrickBot) fue una de las historias cibernéticas más grandes de los últimos meses de 2021, y desde noviembre, el Grupo Insikt ha identificado positivamente 40 Emotet C2 derivados de muestras tomadas tanto al principio y finales de 2021, y además, 45 servidores que comparten patrones que probablemente serán utilizados por Emotet, y al menos cuatro que también albergan Dridex.
Los analistas evalúan que la tasa de creación de la infraestructura de Emotet sugiere que sus operadores tienen la intención de recuperar su antigua “gloria”, lo que puede ser un objetivo completamente factible, según Lesenewich.
“Dada la forma en que Emotet ha evolucionado y ha reiniciado el spam en masa desde que comenzó de nuevo, creemos que es probable que Emotet sea el jugador dominante en el mercado. En realidad, esto puede aliviar la carga de otro malware cargado por Emotet; en lugar de usar múltiples distribuidores o ejecutar operaciones de envío de correo no deseado ellos mismos, pueden usar la experiencia de Emotet para obtener grandes cantidades de infecciones y concentrar sus esfuerzos en las etapas posteriores de la intrusión”, dijo.
También señaló que en realidad no era posible evaluar si los operadores actuales eran o no nuevos, o los mismos que lo manejaban anteriormente.
Indicadores geográficos
Desglosado por geografía, Insikt Group observó infraestructura C2 alojada en 130 países, con 4654 servidores alojados en EE. UU., 1949 en China y 629 en Alemania. Otras ubicaciones destacadas incluyeron Hong Kong, Rusia, Francia, Singapur, los Países Bajos y el Reino Unido. Sin embargo, debe tenerse en cuenta que los servidores abusados o maliciosos representan un porcentaje muy pequeño del número total de operadores de sistemas autónomos (AS), que supera los 60 000 en todo el mundo.
Los datos muestran que los servidores C2 estaban alojados en más de 1650 proveedores, siendo los más grandes los más abusados: 20 operadores de AS tenían más de 100 servidores C2 detectados en ellos, con Digital Ocean, Choopa (también conocido como The Constant Company) y Amazon como los más explotados. , seguido de Alibaba y Tencent, luego OVH. Es importante entender que esto no es una indicación o implicación de malicia por parte de esos proveedores.
“Muchos proveedores globales se toman en serio estas amenazas y eliminan rápidamente los controladores y los sitios de distribución de malware”, dijo Lesenewich. “Lo que no vemos en nuestros datos es cómo un actor compra dominios o alquila/arrienda una IP de servidor. Sería difícil para un proveedor de alojamiento rechazar un servicio de pago al cliente si no está utilizando los mismos detalles o el mismo método de pago que utilizó un cliente anterior que alojó el malware”.
Sin embargo, es posible comenzar a comprender qué proveedores están haciendo la vista gorda o alojando actividades maliciosas a sabiendas si se tiene en cuenta el porcentaje del total de servidores que alojan que se identifican como infraestructura C2.
Aquí se encuentran empresas como Media Land, un proveedor con sede en Rusia que se comercializa como un proveedor de alojamiento a prueba de balas en la dark web: el 5,69 % de sus hosts son infraestructura C2. Otros proveedores de este tipo incluyen Lider Telecomunicaçoes Eireli de Brasil, Danilenko Artyom de Alemania e International Hosting Solutions del Reino Unido.
C2 en el ’22
De cara al futuro, el Grupo Insikt anticipa que en 2022 los actores malintencionados prestarán más atención a fortalecer y ofuscar su infraestructura, ya que aprendieron una dura lección de la interrupción causada a Emotet en 2021. Esto podría incluir una mayor dependencia de los dispositivos comprometidos, un reciclaje más regular de la infraestructura. y el uso de un cifrado nuevo y más resistente.
Aquellos que usan Cobalt Strike también adoptarán cada vez más métodos similares, predicen los analistas, y probablemente habrá una caída notable en el tráfico de los motores de escaneo conocidos, y el empleo de redireccionamientos para enmascarar la verdadera ubicación del servidor; esto probablemente ya esté sucediendo, ellos dicho.
Los analistas también esperan que el entorno C2 se diversifique aún más este año, con nuevas familias de malware y marcos C2 que son “conscientes” de las medidas de inteligencia de amenazas utilizadas para detectarlas. Por lo tanto, es probable que los analistas de información sobre amenazas encuentren que sus herramientas son menos eficaces a corto plazo, a la espera de un nuevo impulso de innovación entre los buenos.
¿Por qué hacer esto?
El Grupo Insikt ha estado rastreando la creación y modificación de nueva infraestructura maliciosa para una gran cantidad de kits de herramientas posteriores a la explotación, malware y troyanos de acceso remoto (RAT) de código abierto, y en los últimos cinco años ha creado detecciones para 80 familias, incluidas RAT, malware APT, botnets y otras herramientas básicas.
Esto es importante porque identificar la infraestructura maliciosa y cómo se usa puede dar a los defensores una clara ventaja cuando se trata de neutralizar las amenazas. Esto se debe a que antes de que un actor malicioso pueda usar un servidor, primero debe adquirirlo, ya sea comprometiéndolo o comprándolo legítimamente. Luego, deben pasar por un proceso de configuración durante el cual no pueden evitar dejar huellas digitales en todo el servidor. Por lo tanto, alguien que pueda desempolvar esas impresiones puede detectar un servidor malicioso antes de que se haya utilizado en cualquier campaña.
Identificar los servidores C2 también ayuda a los defensores a cuantificar la escala de las campañas de amenazas y comparar estos datos con los informes de incidentes reales permite comprender cuántos ataques cibernéticos se detectan y cuántos no. Otros datos recopilados, como el ritmo de creación del servidor, brindan más información sobre aumentos o pausas pendientes en la actividad o evidencia de técnicas novedosas y nueva inteligencia.