Los investigadores de Sophos han postulado un vínculo entre el troyano Dridex-cum-botnet y un ransomware recientemente emergente denominado Entropy, con una serie de similitudes de código en el empaquetador de software, las subrutinas de malware que encuentran y ofuscan comandos, y las subrutinas utilizadas para descifrar cifrado. datos.
Sophos encontró los enlaces mientras investigaba dos ataques diferentes, uno contra una organización de medios en América del Norte y el otro contra organizaciones gubernamentales regionales, en los que se utilizó Dridex como vector para entregar el ransomware Entropy.
En ambos ataques, los atacantes utilizaron versiones especialmente diseñadas de la biblioteca de enlaces dinámicos (DLL) de Entropy que incorporaron el nombre del objetivo en el código del ransomware, seguido de una línea de la novela para adultos jóvenes de 2005. Buscando a Alaska por John Green – “La entropía aumenta. Las cosas se desmoronan”, de ahí su nomenclatura. Luego implementaron Cobalt Strike en sus sistemas para filtrar datos utilizando la herramienta de compresión legítima WinRAR, luego de lo cual lanzaron el ransomware.
El investigador principal de Sophos, Andrew Brandt, dijo: “No es raro que los operadores de malware compartan, tomen prestado o roben el código de otros, ya sea para ahorrarse el esfuerzo de crear su propia atribución, engañar intencionalmente o distraer a los investigadores de seguridad. Este enfoque hace que sea más difícil encontrar evidencia que corrobore una ‘familia’ de malware relacionado o identificar ‘señales falsas’ que pueden facilitar el trabajo de los atacantes y dificultar el trabajo de los investigadores.
“En este análisis, Sophos se centró en aspectos del código que aparentemente tanto Dridex como Entropy usaban para hacer que el análisis forense fuera más desafiante. Estos incluyen el código de empaquetado, que evita el análisis estático fácil del malware subyacente, una subrutina que los programas usan para ocultar las llamadas de comando (API) que realizan y una subrutina que descifra las cadenas de texto cifradas incrustadas en el malware. Los investigadores descubrieron que las subrutinas en ambos programas maliciosos tienen un flujo de código y una lógica fundamentalmente similares”.
Sin embargo, también hubo algunas diferencias notables en la forma en que los atacantes comprometieron a sus objetivos.
En el ataque a la organización de medios no identificada, por ejemplo, los actores utilizaron la infame vulnerabilidad ProxyShell para acceder a un servidor de Exchange sin parches, donde instalaron un shell remoto que podían usar para difundir balizas Cobalt Strike. Permanecieron en la red de su víctima durante cuatro meses antes de lanzar el ransomware.
Sin embargo, en el otro ataque, la víctima se vio comprometida a través del malware Dridex que se propagó a través de un archivo adjunto de correo electrónico malicioso. Una vez desplegados, los atacantes usaron Dridex para entregar malware y comenzar el movimiento lateral a través de la red. En este caso, el tiempo de permanencia se redujo a poco más de tres días antes de que los atacantes comenzaran a extraer datos.
Sophos también señaló que en ambos ataques, la pandilla detrás de Entropy se aprovechó de sistemas Windows vulnerables y sin parches y abusó de herramientas legítimas: las víctimas claramente no habían prestado atención a algunos aspectos críticos de la higiene de la seguridad cibernética, en particular parches y entrenamiento anti-phishing.