Los programas maliciosos multipropósito pueden usar más de 20 TTP de MITRE ATT&CK

Los desarrolladores de malware se están volviendo cada vez más expertos en la creación de malware avanzado y multipropósito que sirve de manera efectiva como una “navaja suiza” para los ciberdelincuentes, con la capacidad de realizar múltiples acciones maliciosas en cadenas de ataque y, lo que es más importante, evadir la detección por parte de los controles de seguridad.

Esto es según un informe producido por el especialista en simulación de ataques y brechas Picus Security, que encargó a su unidad de investigación Picus Labs analizar un total de 556 107 archivos únicos en el transcurso de 2022, de los cuales 507 192 se clasificaron como maliciosos. Estos se extrajeron de servicios de inteligencia de amenazas comerciales y de código abierto, otros proveedores e investigadores de seguridad, y bancos de pruebas y bases de datos de malware.

Luego, estos datos se usaron para extraer un total de 5 388 946 acciones, aproximadamente 11 por archivo en promedio, y se asignaron a las técnicas MITRE ATT&CK, lo que reveló. Luego, estos datos se procesaron para revelar la cantidad de archivos maliciosos que usaron una técnica individual para descubrir el porcentaje de malware que lo hizo.

Según este análisis, Picus ha determinado que alrededor de un tercio de los programas maliciosos son capaces de exhibir más de 20 tácticas, técnicas y procedimientos (TTP) individuales según lo enumerado por el marco MITRE ATT&CK. El malware promedio aprovecha 11 TTP y aproximadamente el 10 % promedia más de 30.

Cree que el desarrollo de estos programas maliciosos del “Ejército Suizo” se financia con los bolsillos profundos de los cárteles de ransomware de alto perfil que están reaccionando a los avances en las medidas de detección basadas en el comportamiento.

Más contenido para leer:  April Patch Tuesday corrige el día cero utilizado para entregar ransomware

“El malware moderno toma muchas formas”, dijo Suleyman Ozarslan, cofundador de Picus Security y vicepresidente de Picus Labs. “Algunos tipos rudimentarios de malware están diseñados para realizar funciones básicas. Otros, como el bisturí de un cirujano, están diseñados para realizar tareas individuales con gran precisión.

“Ahora estamos viendo más malware que puede hacer cualquier cosa. Este malware puede permitir a los atacantes moverse a través de redes sin ser detectados a gran velocidad, obtener credenciales para acceder a sistemas críticos y cifrar datos”.

“El objetivo tanto de los operadores de ransomware como de los actores de los estados nacionales es lograr un objetivo de la manera más rápida y eficiente posible”, agregó.

“El hecho de que más malware pueda realizar un movimiento lateral es una señal de que los adversarios de todo tipo se ven obligados a adaptarse a las diferencias en los entornos de TI y trabajar más para obtener su día de pago”, dijo Ozarslan.

Los TTP de MITRE ATT&CK más utilizados según lo determinado por Picus Labs demuestran claramente la prevalencia del ransomware. En orden, son los siguientes:

  • Intérprete de secuencias de comandos y comandos T1059, encontrado en el 31 % de las muestras. Esta es una técnica de ejecución que le permite a un adversario ejecutar comandos, scripts y archivos binarios arbitrarios para interactuar con los sistemas, descargar cargas útiles y herramientas, y deshabilitar las herramientas de seguridad.
  • Volcado de credenciales del sistema operativo T1003, encontrado en el 25 % de las muestras. Esto permite a los adversarios volcar las credenciales de los sistemas operativos y las utilidades para obtener los detalles de inicio de sesión de la cuenta que pueden usar para acceder a otros recursos.
  • T1486 Datos cifrados para impacto, encontrados en el 23 % de las muestras. El uso malicioso del cifrado es el objetivo final de todo operador de ransomware y se usa cada vez más en ciberataques destructivos en los que no se realiza ningún intento de extorsión por motivos económicos.
  • Inyección de proceso T1055, encontrada en el 22 % de las muestras. Esta técnica común permite a los adversarios evadir las defensas y escalar sus privilegios inyectando código malicioso en procesos legítimos.
  • Descubrimiento de información del sistema T1082, encontrado en el 20% de las muestras. Esta técnica simplemente permite a los adversarios recopilar más datos sobre el estado de TI en el que están presentes, como componentes de hardware, aplicaciones y configuraciones de red en uso, y encontrar vulnerabilidades que pueden explotar.
  • Servicios remotos T1021, encontrado en el 18% de las muestras. Esta técnica se refiere al uso de servicios remotos por parte de un adversario, principalmente Windows Remote Desktop Protocol (RDP), Secure Shell (SSH), Server Message Block (SMB), etc., para moverse lateralmente y obtener más acceso a sistemas remotos.
  • Instrumentación de administración de Windows T1047, encontrada en el 15 % de las muestras. Los adversarios abusan fácilmente de WMI, que administra datos y operaciones en todos los sistemas basados ​​en Windows, para ejecutar comandos maliciosos y cargas útiles en hosts comprometidos, y lograr acceso local y remoto.
  • Tarea/trabajo programado T1053, encontrado en el 12 % de las muestras. Los adversarios pueden utilizar esta técnica para programar y desencadenar varias etapas de un ciberataque.
  • T1497 Evasión de virtualización/sandbox, encontrada en el 10 % de las muestras. Esta técnica se utiliza para ayudar a los programas maliciosos a evadir los entornos de virtualización y análisis al cerrarse si detecta que se está ejecutando en dicho entorno. Esto puede dificultar que los defensores, investigadores e investigadores establezcan lo que está sucediendo.
  • Descubrimiento remoto del sistema T1018, encontrado en el 8 % de las muestras. Si un adversario puede implementar esta técnica para descubrir hosts y redes remotos, potencialmente puede abrir una superficie de amenazas mucho más amplia para explotar y atacar.
Más contenido para leer:  Grandes cambios prometidos para un futuro de IA

En conjunto, es fácil ver cómo un malware que implementa los TTP mencionados anteriormente sería una amenaza grave.

Ozarslan recomendó que frente a estos sofisticados malware multipropósito, los equipos de seguridad deben comenzar a adaptarse para priorizar la detección de los TTP más utilizados e introducir una evaluación continua de sus controles cibernéticos.

“Las organizaciones [therefore] estar mucho mejor preparado para defender activos críticos. También podrán asegurarse de que su atención y recursos se centren en áreas que tendrán el mayor impacto”.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales