Los investigadores de seguridad del especialista en detección y respuesta administrada (MDR) eSentire han revelado cómo están cambiando las tornas en una operación expansiva de delitos cibernéticos que ha atraído a miles de personas que trabajan en bufetes de abogados y departamentos legales internos en el Reino Unido, Australia, Canadá. y los EE. UU. en los últimos 15 meses.
Conocida como Gootloader, la operación se especializa en obtener acceso inicial a las redes de las víctimas y luego ofrece esto como servicio a los ciberdelincuentes posteriores, incluida la operación de ransomware REvil que pirateó una firma de abogados que representaba al entonces presidente de los Estados Unidos, Donald Trump, en 2020. .
Gootloader ha sido una amenaza de larga data desde al menos 2020 y fue nombrada como una de las principales amenazas de CISA en 2021.
La Unidad de Respuesta a Amenazas (TRU) de ESentire, dirigida por Joe Stewart y Keegan Keplinger, detuvo los ataques a 12 organizaciones diferentes en las que los empleados fueron atraídos a blogs de WordPress comprometidos que los operadores de Gootloader han llevado a la cima de las clasificaciones de búsqueda de Google utilizando una técnica conocida como búsqueda. envenenamiento por optimización de motor (SEO).
Desde estos blogs, se les pedía que descargaran el malware Gootloader disfrazado de acuerdos y contratos legales falsos, dando así acceso a la operación a su sistema.
“Gootloader es una amenaza astuta y peligrosa que se aprovecha de quienes buscan información comercial y formularios legales en línea”, dijo Stewart. “Los usuarios inocentes pueden ser fácilmente atraídos por las publicaciones falsas de Gootloader, exponiéndose sin saberlo a ataques de ransomware.
“Es como una trampa, esperando en las sombras a que su próxima víctima desprevenida caiga en sus garras. Depende de los investigadores de seguridad arrojar luz sobre este rincón oscuro de Internet y proteger a aquellos que solo están tratando de encontrar la información que necesitan para hacer su trabajo”.
Cómo funciona
En el caso de Gootloader, la operación mantiene sus tarjetas cerca de su cofre de tal manera que las cargas maliciosas nunca se muestran a los usuarios registrados en los sitios de WordPress comprometidos, lo que significa que incluso los administradores del sitio pueden ser completamente conscientes de que están siendo tomados. Ventaja de. También bloquea las direcciones IP de los administradores y varios bloqueos de red por encima y por debajo de sus direcciones IP para evitar que vean las páginas maliciosas incluso si cierran la sesión de WordPress.
Estas funciones de lista de bloqueo también están integradas en el servidor que realmente entrega la carga maliciosa: una víctima solo puede recibirla una vez y luego será bloqueada durante 24 horas en cualquier sitio comprometido con Gootloader.
Esto puede parecer un poco contrario a la intuición, pero es en parte una táctica de ofuscación, ya que es una barrera para la investigación por parte de investigadores o respondedores de incidentes, quienes luego deben ofuscar sus propias identidades si desean volver a visitar un sitio comprometido.
Es esta característica que Stewart y Keplinger ahora han aprovechado. Cada vez que llega una víctima, el servidor de Gootloader recibe varios tipos de datos diferentes, incluida su dirección IP, que es el factor relevante aquí.
Debido a que el servidor depende del blog comprometido para alimentar dicha dirección IP, es posible bloquear cualquier dirección IPv4 en Internet para que no vea ningún blog comprometido de Gootloader mediante la elaboración de una solicitud “maliciosa” al servidor que emule una solicitud “legítima”.
Además, debido a que el servidor de Gootloader bloquea netblocks de direcciones IP por encima y por debajo de la dirección IP de la víctima, es posible proteger todo el espacio de la red IPv4 global enviando un total de 800 000 solicitudes al servidor de Gootloader cada 24 horas.
Pero no se detiene aquí. Al “abusar” de la lista de bloqueo que mantiene a los administradores del sitio de WordPress en la oscuridad, Stewart y Keplinger también pudieron usar direcciones IP de proxy para bloquear una gran parte de Internet de forma permanente, aunque solo de los sitios de Gootloader que tienen registro de usuario o utilizan direcciones de terceros. Inicios de sesión OAUTH habilitados.
Los investigadores afirmaron que desde que implementaron estas técnicas contra Gootloader en el servicio eSentire MDR for Network, ni un solo cliente se vio comprometido. Stewart y Keplinger ahora están haciendo correr la voz aún más a través de asociaciones y colaboraciones con otros.
“Al aprovechar los propios criterios del actor de amenazas de Gootloader para entregar cargas útiles, pudimos bloquear miles de direcciones IP para que no recibieran la carga útil de Gootloader, lo que redujo significativamente el grupo de víctimas potenciales”, dijo Stewart.
“Fue un enfoque único que nos ayudó a interrumpir la Operación Gootloader y proteger a los usuarios inocentes de ser víctimas de este peligroso malware”, dijo. “Estoy orgulloso del trabajo que hemos realizado para combatir esta amenaza y espero que nuestro enfoque inspire a otros a adoptar tácticas similares para protegerse contra el malware.
“Construir un rastreador para descubrir los cientos de miles de páginas de destino latentes de Gootloader en blogs de WordPress comprometidos no fue una tarea fácil. Se requirió mucho tiempo de investigación y desarrollo para crear una herramienta que pudiera rastrear e identificar estas páginas de manera eficiente. Sin embargo, la recompensa en términos de descubrir estas páginas de destino y compartir esta información con otros investigadores y organizaciones de seguridad hizo que valiera la pena. Al colaborar y compartir nuestros hallazgos, podemos trabajar juntos para combatir este malware peligroso y proteger a las víctimas inocentes para que no se conviertan en el próximo objetivo de los clientes del operador de ransomware de Gootloader”.
Sin embargo, Stewart dijo que también era imperativo que aquellos que operan sitios de WordPress en sus organizaciones tomen más medidas para mejorar su propia seguridad cibernética y protegerse de ser cooptados en el grupo de cebo de Gootloader.
“Al descuidar la seguridad del sitio, los operadores no solo ponen en riesgo sus propios datos, sino que también contribuyen a un problema mayor que amenaza la seguridad de Internet en su conjunto”, dijo. “Es el deber de todos los propietarios de sitios web proteger sus propiedades web y ayudar a evitar que malware como Gootloader use sus sitios para dañar a usuarios inocentes”.
Conexiones malvadas
Durante el transcurso de su trabajo, Stewart y Keplinger también reafirmaron los vínculos establecidos desde hace mucho tiempo entre Gootloader y el notorio equipo de ransomware REvil, que causó estragos durante un período de varios años; su operación más importante posiblemente sea el ataque a la cadena de suministro de Kaseya.
Al analizar el momento de varias campañas de REvil dirigidas a organizaciones de habla inglesa, francesa, alemana y coreana, y específicamente a bufetes de abogados en países de habla inglesa, ahora han demostrado que los dos trabajaron juntos desde 2019, cuando REvil surgió por primera vez como sucesor de Gandcrab. hasta 2022.
Creen que Gootloader alimentaba casi continuamente a las víctimas con REvil y, como tal, era un “factor integral” en el éxito de la pandilla de ransomware, y debido a que Gootloader todavía está detectando víctimas activamente, es posible que sus operadores estén trabajando con una operación sucesora de REvil hasta el día de hoy. , o peor aún, grupos respaldados por el estado ruso, como explicó Keplinger.
“Muchos [REvil members] supuestamente fueron arrestados por el gobierno ruso en enero de 2022, justo antes de la invasión de Ucrania”, dijo.
“Después de la invasión rusa de Ucrania en 2022, el enjuiciamiento de los miembros de la pandilla REvil pareció estancarse, al igual que se informó recientemente que algunos de los abogados de los acusados sugerían que sus clientes ‘fueran liberados para trabajar para los servicios de seguridad rusos’ y que ‘los La experiencia única de los exacusados sin duda sería útil para los servicios especiales rusos en la lucha contra los piratas informáticos de Ucrania’”.