Como analistas de malware en LAB52, la división de ciberinteligencia de S2Grupo, habitualmente centramos mucho nuestra atención en grupos APT. Sin embargo, desde hace un tiempo, la evolución del ecosistema de Malware-as-a-Service (MaaS) hace que inevitablemente capte nuestra atención por diversos motivos.
Este artículo aborda la problemática actual que suponen modelos de ciberdelincuencia como el conocido MaaS desde el punto de vista del análisis de malware. Si bien en el reciente informe de S2Grupo sobre IA ya se dieron unas pinceladas del efecto que la llegada de la IA tiene sobre el avance imparable de la comercialización del malware en sus múltiples formas, a continuación, abordamos algunos de los desafíos a los que nos enfrentamos actualmente, sin que los delincuentes requieran usar IA.
Conocer los retos y necesidades actuales es básico para afrontar problemas más complejos que no sólo precisan aprovechar mejor las tecnologías a nuestro alcance (sean nuevas o no), sino también potenciar nuestro sentido innovador, investigador y crítico.
Malware-as-a-Service
El Malware as a Service (MaaS) describe un modelo de negocio delincuencial en el que el software malicioso (malware) y/o su infraestructura asociada se ofrecen como un servicio a terceros: quienes lo adquieren (“afiliados”, “clientes”) no necesitan desarrollar el malware, solo utilizarlo para lanzar ataques. Este modelo de negocio forma a su vez parte de lo que se conoce como Cybercrime-as-a-Service (CaaS) donde, a su vez, encontramos ciberdelincuentes dedicados a suministrar otras partes que ayudan a construir la infraestructura. Nos encontramos con modelos dedicados a la ciberdelincuencia que hoy día podrían considerarse asentados y experimentados, y que, en muchos casos, actuarán como empresas.
La siguiente imagen muestra la operativa general del modelo de MaaS, donde al igual que una gran empresa, el márketing es uno de los pilares fundamentales para la captación tanto de clientes como de los afiliados o socios que permiten que el negocio crezca. El desarrollo, empaquetado y control de versiones, la distribución, la ejecución y persistencia y el movimiento lateral, atañen directamente al desarrollo del malware, y pueden verse muy beneficiados por el uso de la IA, que, actualmente, podríamos decir que aún se encuentra muy por debajo de su potencial.
He aquí una pregunta que debería resolverse durante este artículo: ¿hace falta el uso de la IA para complicar realmente las cosas? Un pequeño spoiler: No. Lamentablemente, actualmente este negocio ya es lo suficientemente maduro como para que los desarrollos de malware se tornen interesantes – desde el punto de vista analítico – sin que los ciberdelincuentes tengan siquiera que molestarse en usar IA. Y, lamentablemente también, si actualmente numerosas organizaciones aún son vulnerables a estos ataques, cuando las nuevas técnicas alcancen su potencial (o parte de éste) tendremos un problema. Quizás una forma de minimizar el golpe que puede suponer enfrentarse a estos nuevos casos es, al menos, saber cómo hemos llegado a este punto, tener constancia del panorama actual, y de la importancia de cambiar el enfoque de análisis hacia algo más predictivo.
Nacidos para MaaS
MaaS es un término que data de 2014 pero sobre un concepto que es mucho anterior. En el año 2000 ya existían Exploit Kits y botnets que ayudaban a desencadenar ataques, entre ellos ataques de denegación de servicio. La comercialización de estos “productos” es un negocio en sí mismo, que evolucionó hasta el enfoque más profesional que conocemos hoy día. Uno de los motivos del impulso del MaaS es el ransomware as a service (RaaS).
El ransowmare en su última fase, o cualquier stealer, es fácilmente detectable por cualquier antivirus. Lo que complica realmente la detección es que la fase de despliegue sea lo suficientemente buena como para sortear los controles de seguridad antes del despliegue del malware final. Con la profesionalización del RaaS las fases de despliegue son cada vez mejores, y son aplicables a cualquier despliegue MaaS. Tanto es así, que aún con las intervenciones de grupos notorios de RaaS el modelo persiste. No debería preocuparnos el nombre concreto del malware que acaba por desplegarse más que toda la cadena de despliegue que lo permite, y que es aplicable a muchos más casos.
A partir de 2020 el modelo MaaS se considera consolidado, y a partir de 2025 podríamos estar ya ante un cambio de paradigma fuerte, en el que veamos variaciones importantes en los despliegues que compliquen la labor de análisis y por ende de detección.
Y en todo este caldo de cultivo algo importante es que, si bien antes del asentamiento de modelo veíamos malware que se reconvertía para ser usado como MaaS (como es el caso de Emotet), las nuevas versiones nacen como MaaS, como es el caso de Rhadamanthys. Esto importa y mucho, porque cuando algo se desarrolla desde el inicio con requisitos de negocio claros, su crecimiento se potencia acorde con dichos objetivos. Es por ello por lo que los nuevos desarrollos serán cada vez mejores: los desarrolladores parten de una base de aprendizaje previa, cuentan cada vez con muchísima más información, y pueden aplicar todo este conocimiento a sus desarrollos, que se ven potenciados con las nuevas tecnologías si las saben aprovechar.
Es precisamente la fortaleza de los modelos MaaS la que hace que, aunque operaciones como Endgame asesten un duro golpe a las infraestructuras de Rhadamanthys y otros malware distribuidos como MaaS, estos golpes no acaban de afectar a todo el modelo, que resurge con nuevas variantes de malware que ocupan el lugar que dejaron sus predecesores, justo como ocurre con la delincuencia o el crimen organizado del mundo físico. Sin embargo, a diferencia del mundo físico, el paraguas tecnológico permite que las nuevas variantes se presenten cada vez con más fuerza, con mejoras que saben aprovechar muy bien los nuevos avances y el cambio de contexto, también se preocupan mucho de su seguridad y protegen tanto sus acciones en el ciberespacio como su desarrollo software. El usuario sigue siendo el mismo, el mundo tecnológico avanza demasiado deprisa como para poder frenar estos nuevos casos con los mecanismos clásicos.
El desafío de analizar para detectar
Los mecanismos de detección de éstas y otras amenazas se nutren de reglas que se generan usando el comportamiento conocido, reportado por la comunidad o, quien se lo puede permitir, usando los resultados del análisis de malware del que se nutre la ciberinteligencia. La Ciberinteligencia debe ser dirigida, de forma que permita optimizar los recursos que dedicamos a enfrentarnos a las amenazas que más pueden afectar a nuestra organización. Para afinar mucho más el tiro, mientras más información de contexto tengamos durante un análisis mejor nutriremos nuestra ciberinteligencia, y una parte fundamental para la generación de ciberinteligencia de impacto es el análisis de las armas del ciberatacante, entre las que se encuentra el malware.
Es el análisis de malware el que permite destripar un software malicioso y extraer conocimiento que volcar en nuevas reglas de detección. Los analistas no tenemos todo el tiempo del mundo, sino que el tiempo es un lujo, un recurso escaso, sobre todo cuando tu contexto es el de la respuesta ante incidentes. El adversario lo sabe, y pone medidas para proteger su sistema y sus activos preciados, su desarrollo software que tenemos a bien destripar. Al atacante le vale con que invirtamos tiempo más allá del que éste necesita para cumplir sus objetivos. Si eso ocurre, ya ha ganado la partida.
Es por ello que un buen analista intenta siempre definir reglas de detección que permitan anticiparse a nuevas variantes, aunque esto cada vez puede ser más difícil.
Con un panorama en el que cada vez encontramos más variabilidad en las muestras de malware, ¿qué creen que puede ocurrir si no somos capaces de anticiparnos al siguiente movimiento de los ciberatacantes?
En el contexto de la respuesta a incidentes el disponer de analistas dedicados con experiencia es fundamental para acortar los tiempos de respuesta. Ya no es tan sólo una cuestión de reducir tiempos permitiendo que nos centremos únicamente en el análisis de malware, es una cuestión de formación para enfrentarnos a nuevos casos de forma más ágil.
Cada caso es diferente y, aunque sigamos metodologías bien definidas debemos saber adaptarnos para sacar el máximo partido al tiempo que tenemos y nutrir lo mejor posible los sistemas de ciberinteligencia. Los casos de MaaS llevan un tiempo sin ser simples despliegues de malware fácilmente evitables, planteando problemas que requieren cambiar los enfoques tradicionales y sacar partido al análisis de malware para intentar esa tan ansiada anticipación.
El problema de la identificación
He aquí problemas que atañen a la identificación, es decir, a conocer qué malware es el que finalmente se intenta desplegar:
- Podríamos, tal vez erróneamente, conceder más tiempo a dicho malware que a la cadena de despliegue. Lo cierto es que, como ya se ha dicho, hoy es Rhadamanthys, mañana es otro stealer, o ransomware, o backdoor, etc. Tan importante es saber qué intenta desplegar (de cara por ejemplo a nutrir la ciberinteligencia y preparar reglas) como saber cómo intenta desplegarlo, porque eso ayuda a la anticipación.
- Tal vez tengamos suerte y haya algunos indicadores de compromiso ya publicados en fuentes públicas que coincidan con los nuestros (como parte de la cadena de despliegue) y erróneamente no los contrastemos, pensando que por las similitudes lo nuestro es lo mismo. Esto introducirá errores, porque clasificaremos la amenaza y toda su cadena de forma incorrecta, y esto puede también afectar a la planificación que se haga apoyada en la ciberinteligencia. Toda la información pública debe contrastarse, más cuando tenemos casos de MaaS, por la variabilidad que ofrecen estos casos.
- Tal vez consideremos un caso resuelto considerndo lo que ya nos aporta la comunidad o la ciberinteligencia, o incluso el análisis de malware de nuestro propio caso. Pero esto no es suficiente para anticiparnos. El análisis de malware sobre artefactos conocidos de campañas similares y buscar variantes de nuestros artefactos malware en plataformas especializadas es crucial para un buen desarrollo de reglas. Por supuesto, esto requiere aún más tiempo, pero es necesario si queremos desarrollar no sólo reglas para hoy, para lo que nos está afectando, sino para el futuro. Numerosas campañas han reutilizado algunos indicadores de otras previas. No podemos desperdiciar la ventaja que nos aporta anticiparnos a estos casos.
Sirva de ejemplo el informe de Cyberseason sobre Rhadamanthys publicado meses atrás. En este informe se habla sobre una campaña de MaaS dirigida, y esto acorde a las características de los artefactos malware, a profesionales del sector multimedia. El hecho es que mediante el análisis de los artefactos podemos vincular esta campaña con otra que afectaba a otro público más diverso, sin dependencias en este caso con que hubiese software multimedia preinstalado en las máquinas víctimas, y que podía detenerse con reglas comunes, si se miraba más allá de lo público. Algo no comentado y que permite vincular ambas campañas pese a sus diferencias, es que para ambas las DLLs que cargaban el payload tenían código incrustado en las imágenes de los recursos. Las imágenes cambiaban entre diferentes DLLs recabadas de fuentes públicas, tanto para uno como para otro caso, pero en algunas muestras se encontraron incrustaciones sobre la misma imagen.
No es descabellado pensar en un builder o generador que construya estas DLLs a partir de una base de datos suficientemente grande de imágenes que se seleccionan para incrustar el payload y que, además, seleccione diferentes payloads que resulten adecuados conforme sus objetivos. Para esto, no hace falta IA, y, aún así, complica como es el caso relacionar casos paralelos y la definición de reglas comunes, si únicamente nos quedamos con la parte pública y no ahondamos en el análisis.
Saber con qué estamos lidiando es fundamental. Mientras más sepamos, mejor alimentamos la ciberinteligencia. Pero si no dedicamos suficiente tiempo a la cadena de despliegue ésta podría ser usada en otro ataque para desplegar otro malware que es diferente a ese que con tanto empeño queríamos conocer. Y, por último, ir más allá de lo conocido es imprescindible hoy día. Aunque esta parte desde luego consume mucho tiempo, es una inversión de investigación necesaria para anticiparnos.
Los ciberdelincuentes toman nota de las tácticas de grupos APT
El saber no ocupa lugar, y no es nada inusual ver replicadas tácticas de grupos APT por ciberdelincuentes. Un ejemplo reciente es el del despliegue de malware en campañas del actor APT Mustang Panda el que se usaba el cargador CANONSTAGER. Se aprovechaba de que el ejecutable cnmpui.exe legítimo de Canon Printer Assistant era vulnerable a DLL Sideloading y por medio de la DLL troyana cnmpaui.dll se ejecutaba el cargador que daba pie a la carga del payload que permitía avanzar hacia las siguientes fases del ataque. El hecho es que no tardaron mucho en aparecer campañas de MaaS que seguían esta misma lógica, aprovechándose de esta característica. No es algo inusual que esto ocurra, luego el análisis sobre los grupos APT también permiten anticiparnos en ocasiones a campañas de MaaS, pero desde luego tenemos que evitar mezclar ambos mundos.
El contexto juega un papel fundamental. Cuando el análisis se hace en el contexto de la respuesta a incidentes son todas las piezas del puzle las que en muchos casos determinan a qué nos estamos enfrentando. En el caso de “copias” como las que se comentan en este punto la diferencia suele ser notable, pero hay otros casos para los que no se usa malware desarrollado por los grupos y sí herramientas generales, y esos casos no deben ser obviados.
Adaptarse a los nuevos contextos, pero no con nuevas herramientas
Cuando hablamos de evolución habitualmente tendemos a pensar en nuevas formas de malware, en variantes, en el uso de la IA. El hecho es que la evolución va mucho más allá. Evolucionar en el negocio del MaaS es también saber aprovechar lo que ya se tiene para llegar mucho más allá gracias a los nuevos servicios o las nuevas tecnologías.
Un ejemplo sobre esto es el cryptojacking. Este es el término que define la actividad de minado de criptomonedas cuando no es consentido. Los actores detrás de cryptojacking usan sistemas ajenos para minar, y esto no es nada nuevo. Ya en 2018 se percibió un salto importante en actividades de cryptojacking, actividades que fueron comparadas junto con el impacto de ransomware por IBM en un informe. Esta actividad no deja de aumentar, en 2023 dio otro nuevo salto conforme datos de sonicwall. Uno de los problemas subyacentes debajo de esto es, precisamente, que no deja de ser otra forma de negocio que impulsa nuevos ciberdelitos. Ganar acceso a dichos sistemas comprometidos es la puerta a nuevos ataques, alimentando el negocio del MaaS.
No se requieren de nuevas herramientas, sirvan de ejemplo casos antiguos de abuso del software legítimo de minado XMRig en combinación con Tor para la comunicación segura con el nodo de comando y control (C2) y su adaptación para aprovecharse de dockers expuestos, caso reportado por Akamais, en el que se usan las mismas herramientas.
Es por ello que a los problemas actuales debemos sumar que no debemos olvidarnos de seguir protegiendo los sistemas para evitar este tipo de intrusiones no deseadas que desde luego pueden dar pie a que financiar a los actores, impulsando su carrera en el mundo del ciberdelito.
Como apunte final, también existen grupos APT como APT41 que tienen actividad en ciberdelincuencia, para los que se conocen casos de criptojacking. Por lo que frenar estas actividades evitaría también que dichos grupos reciban financiación por esta vía.
La nueva era
Lo que nos depara el futuro es difícil de predecir, pero lo que sí está claro es que si partimos de un modelo de negocio consolidado y nuevas tecnologías reforzadas por IA, se puede esperar fácilmente una evolución en este sector.
Un artículo muy ilustrativo de esta situación, y desde el punto de vista del análisis de malware muy enriquecedor, es el de Alex Delamonte, Vitali Kamluk y Gabriel Bernadett-Shapiro en SentinelOne. El artículo es de septiembre de este año, y la investigación muestra los diferentes enfoques, metodologías que definieron para obtener malware con IA embebida. No malware generado con IA, hemos dejado atrás ya esa casuística, que no por ello tiene menos implicaciones de cara al negocio del MaaS. El malware con IA embebida permite la toma de decisiones durante el despliegue del malware, y esto puede ser muy dañino de cara a la detección, como ha demostrado no mucho más tarde este mismo año, en noviembre, el artículo publicado por Anthropic sobre una campaña de ciberespionaje orquestada por IA. Luego, que la IA puede desempeñar un rol clave afectando a la ciberseguridad es indudable. No sólo en lo que respecta al análisis de malware, que también, sino a todo el sector de la ciberseguridad. A este respecto, el informe de S2Grupo sobre IA aborda estos problemas con un enfoque que cubre los diferentes sectores afectados. En particular, respecto al MaaS, hay efectos ya perceptibles, como permitir abaratar los costes de producción y con ello la posibilidad de ofertar versiones de prueba o jugar con las condiciones de negociación con los afiliados. FuncSec es un ejemplo de ransomware para el cual ya se identificó que se había usado IA para su desarrollo y eso afectó al modelo de negocio. Y la clave es esa: si la IA permite agilizar los procesos, ya sea de generación / creación / distribución de malware o bien de toma de decisiones, esto aplicado al modelo del MaaS posibilita un salto importante difícil de solventar si no pensamos diferente y evolucionamos como analistas, aprovechando también las ventajas que ofrece la IA pero sin olvidar ni por un instante nuestro sentido crítico y de responsabilidad con el uso de estas nuevas tecnologías.
Conclusiones
El MaaS tradicionalmente se vio entre los analistas de malware como aquellos casos que no eran lo suficientemente complejos para requerir tiempo. Pero eso lleva un tiempo cambiando. La actividad de ciberdelincuencia y grupos APT se está entrelazando en torno al malware, y esto hace que requiramos optimizar y mejorar más y más rápido para hacer frente a estas nuevas hordas de ciberdelincuentes que saben aprovechar y muy bien los recursos a su alcance. La preparación de los analistas para servirse de las nuevas tecnologías es fundamental, pero el uso de la IA no va a resolverlo todo. Sin sentido crítico, sin abordar el análisis de malware desde una perspectiva innovadora que permita anticiparnos, habremos perdido la batalla. El análisis de malware es una disciplina por sí misma y necesitamos analistas de malware dedicados, centrados en analizar, aprender, anticiparse y en nutrir, porqué no, las herramientas que permitan frenar no sólo los ataques que nos afectan hoy, sino los que por descontado están por llegar.
Speak Your Mind