Tendencias malware Abril 2017. Destacado: Hajime y Shadow Brokers Leak.

Como todos los meses, desde el laboratorio de malware seguimos compartiendo con vosotros lo que se está cociendo en el mundo del malware. Recordad que en este tipo de entradas encontraremos amenazas conocidas, vistas en otras fuentes o analizadas directamente en nuestro laboratorio, pero el objetivo del post es conocer qué tipo de amenazas están activas.

A continuación, mostramos un diagrama con la información recopilada este mes desde el laboratorio:

Al igual que el mes pasado, volvemos a traer gráficas que nos muestran de un modo más visual determinadas tendencias relativas a la infraestructura de algunas amenazas actuales. La idea es sencilla y consiste en recopilar de diferentes fuentes abiertas y de fuentes propias, direcciones IP de Command and Controls (C2 a partir de ahora). Después esta información recopilada la representamos de diferentes maneras como veremos a continuación.

Top 5 C2

La primera consiste en el TOP 5 de C2 distintos encontrados por un mismo tipo de malware, lo cual nos ayuda a hacernos una idea de su nivel de actividad durante este mes:

Los diferentes colores muestran el país al que corresponden cada una de las direcciones IP de dichos C2 (ver leyenda a la derecha).

Top 10 direcciones IP con dominios C2

En segundo lugar, tenemos organizado el TOP10 de direcciones IP con mayor cantidad de dominios de C2 distintos que hemos recopilado, llegando hasta 16 dominios a los que contactan distintas muestras para un solo servidor.

Esta vez, los colores nos muestran el tipo de malware al que corresponde cada dominio de dichas IP.

Hajime

Entrando en muestras de malware concretas, recientemente ha estado dando guerra en el mundo del IoT, una amenaza conocida como Hajime.

Con la ayuda de nuestro compañero Joan Soriano, hemos estado vigilando esta botnet, que ya dio signos de vida durante el pasado octubre y cuenta con una implementación más robusta y sofisticada que Mirai. Su diseño modular permite añadir funcionalidades de forma continuada, pues no cuenta con un servidor C&C, sino que implementa una red peer to peer para su comunicación.

La difusión de Hajime se basa en la ejecución por fuerza bruta de credenciales por defecto, que, tal y como hemos comprobado, son las mismas utilizadas por Mirai junto a alguna extra como la combinación !!Huawei:@HuaweiHgw.

Más allá de este hecho, no tiene gran similitud con Mirai, pues a diferencia de esta, la descarga del binario en el dispositivo infectado se hace a través de la ejecución de un dropper que posteriormente será el encargado de obtener el sample, además de que únicamente hemos encontrado muestras para las arquitecturas arm5, mips y sh4.

Hasta la fecha, su objetivo sigue siendo un misterio para la comunidad, pues no se detecta código malicioso en el binario (aunque su diseño modular provoca que no sea necesario que lo tenga desde el principio) y contiene un mensaje del autor que afirma ser un “White Hat” que solo pretende hacer más seguros los dispositivos IoT, cosa que hasta el momento cumple luchando para eliminar otras muestras de malware como Mirai en los dispositivos.

Shadow Brokers

Otra amenaza que ha estado afectando a muchos equipos recientemente es el set de exploits y herramientas, supuestamente de la NSA, que ha liberado el grupo “Shadow Brokers”. Dicho set contiene, entre otros, exploits para todas las versiones de Windows. Entre todas estas herramientas, como ya detallaba nuestro compañero Kevin Borras, se encuentra la combinación eternalblue+doublepulsar  que permite instalar una backdoor en cualquier sistema Windows, solo conociendo su IP, en caso de que la víctima no cuente con el reciente parche de Microsoft MS17-010.

Este parche solo está disponible para las versiones que aun cuentan con soporte por parte de Microsoft, lo cual implica que cualquier equipo con Windows XP o Windows Server 2003 quede vulnerable a un ataque tan eficaz y relativamente sencillo de implementar.

Exploit Kits (EK) más activos

Como siempre, para terminar, repasaremos la reciente actividad de los distintos ExploitKits (EK) con más impacto durante este mes, que como en el mes anterior han sido RIG y Nebula.

RIG EK ha seguido instalando en sus víctimas distintas muestras de Ransomware como Matrix o Spora y también ha estado instalando otros tipos de malware, entre ellos muestras de SmokeLoader y LatentBot. También ha habido actividad de Nebula o Terror EK que este mes ha estado repartiendo muestras de la botnet Andrómeda entre sus víctimas.

Una vez más, recordar que una de las mejores medidas para evitar infecciones a través de este vector de ataque consiste en mantener actualizado tanto el navegador como cada uno de sus componentes.

Desde el laboratorio de malware esperamos que les sea de utilidad esta información que compartimos cada mes.