Tecnología
Productos
Industrias
Noticias
Recursos
Empresa
Español
Tecnología
Productos
Industrias
Noticias
Blog
Recursos
Empresa

La defensa en profundidad: El resurgimiento de Emotet, como se ve en las capas de correo electrónico y red

Max Heinemeyer, Director of Threat Hunting | Dan Fein, Director of Email Security Products | miércoles 26 de agosto de 2020

El malware bancario de Emotet surgió por primera vez en 2014 y desde entonces ha tenido múltiples versiones. Emotet busca obtener ganancias financieras de varias organizaciones, extendiéndose rápidamente de un dispositivo a otro y robando información financiera confidencial.

La IA de Darktrace ha detectado el regreso de esta botnet después de cinco meses de ausencia. La nueva campaña de Spamware ha afectado a múltiples industrias a través de correos electrónicos de phishing muy sofisticados, que contienen un enlace URL de descarga a un documento de Microsoft Word que tiene una macro o un archivo adjunto del propio documento. Esta versión utiliza nuevas variantes de infraestructura y malware que eran desconocidas para las listas de inteligencia de amenazas, por lo que elude fácilmente las defensas estáticas basadas en reglas.

En este blog, investigamos el ataque desde dos ángulos. En el primer caso, Emotet se infiltró con éxito en la red de una empresa, pero el Enterprise Immune System lo detectó y alertó rápidamente. Luego, exploramos dos clientes que habían expandido la cobertura de Cyber AI de Darktrace a la bandeja de entrada. Si bien estas organizaciones también fueron blanco de esta última campaña de Emotet, el correo electrónico malicioso que contiene la carga de Emotet fue identificado y bloqueado por Antigena Email.

Primer caso de estudio: detección de Emotet en la red

Figura 1: Cronología del ataque

Este primer caso analiza una gran organización europea que abarca múltiples industrias, como la salud, la farmacéutica y la manufactura. La IA de Darktrace monitoreaba más de 2.500 dispositivos cuando la organización se convirtió en víctima de esta nueva ola de Emotet.

El ataque ingresó al negocio a través de un correo electrónico de phishing que quedó fuera del alcance de Darktrace en esta implementación en particular, ya que el cliente aún no había activado Antigena Email. Un enlace malicioso o un documento de Word incrustado en una macro en el correo electrónico condujo al dispositivo a la carga maliciosa.

El Enterprise Immune System de Darktrace observó conexiones SSL a una dirección IP externa 100% extraña y poco después detectó una falla de Kernel en el dispositivo, lo que indicaba una potencial explotación.

Después de estas acciones, la computadora comenzó a dirigirse a varios endpoints externos utilizando certificados SSL autofirmados o no válidos. Los endpoints observados habían sido previamente asociados con servidores Trickbot C2 y el malware de Emotet. El tiempo de permanencia total (el tiempo que un hacker tiene libre acceso en un entorno antes de ser erradicado) fue en este caso de alrededor de 24 horas, en donde la mayor parte de la actividad tuvo lugar el 23 de julio.

Luego, el dispositivo realizó una gran cantidad de intentos de conexión interna nuevos e inusuales a través de SMB (puerto 445) a 97 dispositivos internos durante un período de una hora. El objetivo era probablemente un movimiento lateral, posiblemente con la intención de infectar otros dispositivos, descargar malware adicional y enviar más correos electrónicos de spam.

La IA de Darktrace había alertado rápidamente al equipo de seguridad sobre las raras conexiones iniciales, pero cuando el dispositivo intentó un movimiento lateral, la alerta aumentó. El equipo de seguridad pudo remediar la situación antes de que se produjeran más daños, desconectando el escritorio.

Esta descripción general del dispositivo infectado muestra el alcance del comportamiento anómalo, con más de una docena de detecciones de Darktrace que se activan en rápida sucesión.

Figura 2: gráfico muestra una actividad inusual junto con una gran cantidad de violaciones al modelo, el 23 de julio

Figura 3: una lista de todas las violaciones al modelo que ocurren durante un breve período en el dispositivo infectado

Segundo caso de estudio: captura de Emotet en el entorno del correo electrónico

Si bien el Enterprise Immune System de Darktrace nos permite visualizar el ataque dentro de la red, Antigena Email también identificó la campaña de phishing de Emotet en muchos otros entornos de clientes y detuvo el ataque antes de que se descargase la carga.

Una organización europea se vio afectada por varios correos electrónicos de phishing asociados a Emotet. Estos correos electrónicos utilizan una serie de tácticas, que incluyen líneas de asunto personalizadas y URL maliciosas ocultas. Sin embargo, la IA de Darktrace reconoció los correos electrónicos como altamente anómalos e impidió que llegaran a las bandejas de entrada de los empleados.

100%
Wed Jul 29 2020, 10:52:13
From:CaixaBank Informa <[email protected]>
Recipient:<[email protected]>
Avís de transferència
Email Tags
Suspicious Link
New Contact
Actions on Email
Lock Link
Move to Junk
Hold Message
Double Lock Link

A pesar de afirmar ser de CaixaBank (una empresa española de servicios financieros), Antigena Email reveló que el correo electrónico en realidad se envió desde un dominio brasileño. El correo electrónico también contenía un enlace oculto detrás de un texto que supuestamente conducía a un dominio de CaixaBank, pero Darktrace reconoció esto como un intento deliberado de engañar al destinatario. Antigena Email es único en su capacidad para recopilar información de todo el negocio en general, y la aprovechó para demostrar que el enlace conducía a un dominio de WordPress que la IA de Darktrace identificó como 100% extraño para el negocio. Esto no hubiese sido posible sin una plataforma de seguridad unificada que analice y compare datos en diferentes partes de la organización.

Figura 5: los enlaces maliciosos contenidos en el correo

Los tres enlaces anteriores que fueron descubiertos por Darktrace, están asociados con el malware Emotet y solicitan al usuario que descargue un archivo de Word. Este documento contiene una macro con instrucciones para descargar la carga real del virus.

Otro correo electrónico dirigido a la misma organización contenía un encabezado que sugería que provenía de Vietnam. El remitente nunca había intercambiado correspondencia previa en la empresa, y el enlace único y aislado dentro del correo electrónico también se mostró como un dominio 100% extraño. El sitio web al que se llega al visitar el dominio imita un negocio de impresión legítimo, pero parece hecho a toda prisa y contenía una carga maliciosa similar.

En ambos casos, la IA de Darktrace los reconoció como intentos de phishing debido a su entendimiento de los patrones de comunicación y comportamiento normales de la empresa y retuvo los correos electrónicos de la bandeja de entrada, y así evitó que Emotet ingresara en la siguiente fase del ciclo de vida del ataque.

Tercer caso de estudio: una campaña verdaderamente global

Darktrace ha visto a Emotet en ataques dirigidos a clientes de todo el mundo, siendo una de las campañas más recientes dirigida a la producción y distribución de alimentos en Japón. Este cliente recibió seis correos electrónicos de Emotet entre el 29 y el 30 de julio. Los remitentes falsificaron nombres japoneses y algunas empresas japonesas existentes, incluida Mitsubishi. Antigena Email detectó y accionó con éxito estos correos electrónicos, reconociendo los indicadores de spoofing, “unspoofing” los correos electrónicos y convirtiendo los archivos adjuntos.

57%
Thu Jul 30 2020, 19:31:57
From:藤沢 昭彦様 三菱食品(株) <[email protected]>
Recipient:<[email protected]>
請求書の件です。 0484111-2020_07_30
Email Tags
Suspicious Attachment
No Association
Spoofing Indicators
New Contact
Actions on Email
Convert Attachment
Unspoof

Revelando un phish

Tanto la línea de asunto como el nombre del archivo dice "Con respecto a la factura", seguido por un número y la fecha. El correo electrónico imitaba a una conocida empresa japonesa (三菱 食品 (株)), con “藤 沢 昭 彦” como nombre japonés común y la “様” adjunta cumpliendo una función similar a “Sr.” o “Dr.”, en un claro intento para imitar un correo electrónico comercial legítimo.

Investigaciones posteriores revelaron que la ubicación del remitente era en realidad de Portugal y los valores hash de los archivos adjuntos de Microsoft Word eran coherentes con Emotet. Fundamentalmente, en el momento del ataque, estos hashes de archivos no fueron asociados públicamente con ningún comportamiento malicioso y, por lo tanto, no podrían haberse utilizado para la detección inicial.

Figura 7: Antigena Email muestra métricas críticas que revelan la verdadera fuente del correo electrónico

Al mostrar otras métricas clave detrás del correo, Antigena Email reveló que el verdadero remitente estaba usando un nombre de dominio GMO. GMO es una empresa japonesa de alojamiento en la nube que ofrece servicios de correo electrónico web económicos.

Figura 8: Antigena Email muestra las extensiones y MIME anómalos

Los detalles del archivo adjunto muestran que tanto la extensión como el tipo de MIME son anómalos en comparación con los documentos que este cliente suele intercambiar por correo electrónico.

Figura 9: Antigena Email detecta la incitación

Los modelos de Antigena Email son capaces de reconocer anomalías en las temáticas e incitaciones en los correos electrónicos, independientemente del idioma en el que estén escritos. A pesar de que este correo electrónico está escrito en japonés, la IA de Darktrace pudo descubrir la incitación, dando una puntuación alta de 85.

Figura 10: los seis correos electrónicos sucesivos de Emotet

La proximidad entre envíos de estos correos y el hecho de que todos contenían URL coherentes con Emotet, sugiere que probablemente sean parte de la misma campaña. Diferentes destinatarios recibieron correos de diferentes remitentes en un intento de evadir las herramientas de seguridad tradicionales, entrenadas para incluir en la lista un remitente individual una vez que se reconoce como malo.

La defensa en profundidad

Esta nueva campaña y el regreso del malware Emotet muestra la necesidad de una defensa en profundidad, o tener múltiples capas de seguridad en las diferentes áreas de una empresa, incluido el correo electrónico, la red, la nube y SaaS, etc.

Históricamente, la defensa en profundidad ha llevado a las empresas a adoptar innumerables soluciones puntuales, que pueden ser costosas y difíciles de administrar. Los líderes en seguridad están abandonando cada vez más las soluciones puntuales a cambio de una plataforma de seguridad única, que no solo hace que el manejo del portafolio de seguridad sea más fácil y eficiente, sino que produce sinergias entre diferentes partes de la plataforma. Los datos se pueden analizar a través de diferentes fuentes y conocimientos extraídos de diferentes áreas de la organización, lo que ayuda a detectar ataques complejos que podrían intentar desmantelar el enfoque de seguridad aislado de una empresa.

En última instancia, una única plataforma reduce la fricción de los equipos de seguridad al tiempo que permite una investigación de incidentes eficaz en toda la empresa. Y cuando un enfoque de plataforma aprovecha la IA para comprender el comportamiento normal en lugar de buscar "problemas conocidos", puede detectar amenazas desconocidas y emergentes, y ayuda a evitar que se produzcan daños.

Gracias a la analista de Darktrace, Beverly McCann, por la información sobre los descubrimientos de amenazas halladas.

El Enterprise Immune System de Darktrace: Leer el informe.

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.

Dan Fein

Based in New York, Dan is the Director of Product. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s world-leading Cyber AI Platform and products. Dan has a particular focus on Antigena Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.