Informe del S.O.C. RAN - Informe de amenaza: Ransomware MATA lanzado por Lazarus
El grupo Lazarus lanzo una variante del ransomware MACROMATA. Conoce el análisis del S.O.C. de RAN Security sobre esta amenaza.
Novedades
¿Has escuchado de MITRE ATT&CK? ATT&CK por sus siglas en inglés, significa: "tácticas, técnicas del adversario y conocimiento común". En una fuente de información colaborativa entre los profesionales de seguridad. Permite identificar mejor la huella de TTP más amplia (y más profunda) que un adversario dado deja atrás en el curso de una campaña de penetración. Es una fuente a tener en cuenta para entender cómo operan los atacantes.
ATT&CK Enterprise (a diferencia de Pre-ATT&CK o MOBILE) se enfoca en entender el modus operandi de los adversarios posterior al compromiso dentro de los entornos empresariales.
Como lectura preliminar preliminar, recomendamos encarecidamente el propio documento de 2017 de MITRE sobre el tema, Finding Threats with ATT&CK-based Analytics. https://www.mitre.org/publications/technical-papers/finding-cyber-threats-with-attck-based-analytics
El marco es una base de conocimiento accesible a nivel mundial de tácticas y técnicas de los adversarios que pueden describirse como un inventario de indicadores de compromiso (IOC por sus siglas en inglés) estáticos basados en la reputación que cambian con el tiempo, expiran y solo tienen un valor en un punto en el tiempo.
Por lo tanto, MITER ATT&CK ha documentado una nueva taxonomía que permite a los profesionales de la seguridad identificar mejor la huella de TTP más amplia (y más profunda) que un adversario dado deja atrás en el curso de una campaña de penetración. En otras palabras, los principales problemas que aborda el marco ATT&CK se centran en cómo interactúan los adversarios con un sistema. En muchos sentidos, se puede argumentar que el marco ha ayudado a alejar la conversación de las firmas estáticas que dominaron la era de la detección 2012-2013, y hacia un tipo diferente de detección: el comportamiento de un adversario conocido. Antes de este framework, los profesionales de seguridad no tenían medios colectivos para catalogar lo obvio, ni lo matizado, en lo que respecta a las diferencias de los TTP de los atacantes. Se podría argumentar que la capacidad de tener esta conversación es la contribución más significativa del marco de ATT&CK hasta la fecha.
Los proveedores de ciberseguridad también se benefician al probar sus soluciones contra el marco y medir la efectividad de sus herramientas contra estrategias de ataque conocidas y comportamientos de los adversarios.
Las pruebas MITRE ATT&CK son transparentes y los resultados de la evaluación están disponibles tanto para los fabricantes como para los usuarios finales, sin comentarios ni prejuicios. Las evaluaciones MITRE ATT&CK no son un sistema competitivo utilizado para seleccionar a los ganadores en la industria de la ciberseguridad. No enfrenta soluciones entre sí, califica cuantitativamente los productos no califica el desempeño de un proveedor. Los resultados de las pruebas se registran en una matriz de éxito que ofrece a los lectores una idea de cómo le fue a cada proveedor frente a cada técnica o táctica de amenaza.
En resumen, es fundamental recordar que MITER ATT&CK no está construido en base a inteligencia, sino en conocimiento y visibilidad. No se esfuerza por examinar cosas como las dependencias de la cadena de ataque, el contexto o las ponderaciones en términos de qué priorizar, dadas todas las demás variables. Tampoco se presta para probar lo desconocido; aquellas técnicas para las cuales puede no haber firmas conocidas. En un contexto de amenazas hiper evolutivas que aprovechan un número cada vez mayor de técnicas que, fuera de contexto, pueden ser benignas o maliciosas, como los ataques que utilizan las herramientas legitimas existentes en la infraestructura de la víctima (living off the land) y la exfiltración de datos, existen numerosos ejemplos tangibles de esa limitación con los cuales toda organización deberá estar muy familiarizada.
El grupo Lazarus lanzo una variante del ransomware MACROMATA. Conoce el análisis del S.O.C. de RAN Security sobre esta amenaza.
Hoy analizamos NETWALKER, este malware tipo ransomware, se ha posicionado en el mercado negro como Ransomware As A Service, teniendo gran actividad en Latinoamérica y afectando con #ataques dirigidos a varias entidades gubernamentales, instituciones financieras y Universidades.
Entre Marzo y Septiembre del 2020, la ciber delincuencia ha aumentado sin pausa, proporcional a las nuevas demandas de trabajo remoto y la mayor digitalización los procesos de negocio. A continuación presentamos algunas recomendaciones para protegerte contra malwares muy activos como: Sodinokibi y Netwalker.
Egregor utiliza una variedad de técnicas anti-ofuscación y empaquetamiento del payload para evitar su análisis. Se considera que la funcionalidad del ransomware es similar a la de Sekhmet. Conoce esta amenaza y cómo protegerte.
Netwalker es un malware tipo ransomware, que ya había atacado en U.S.A. afectando la operación de varios centros de salud hace unos meses. Chequea estas recomendaciones.
Hoy analizamos EMOTET, este troyano bancario es muy famoso por su capacidad de evadir antimalwares tradicionales ya que es polimórfico, es decir, muta a sí mismo una vez desplegado. Tiene características de gusano, propagándose rápidamente entre otros.