Blog
‍

Ransomware

RESPOND

9 etapas del ransomware: cómo responde la IA en cada etapa

Dec 2021

Este blog desglosa cada etapa del ransomware, destacando los objetivos de los atacantes en cada paso, las técnicas que adoptan para evitar las defensas convencionales y la actividad anómala que hace que Darktrace AI inicie una respuesta dirigida.

Ransomware gets its name by commandeering and holding assets ransom, extorting their owner for money in exchange for discretion and full cooperation in returning exfiltrated data and providing decryption keys to allow business to resume.

El importe medio de cada rescate se está disparando, elevándose a 5,3 millones de dólares en 2021, un 518% más que el año anterior. Pero el costo de la recuperación de un ataque de ransomware típicamente excede con mucho los pagos del rescate: el tiempo de inactividad promedio después de un ataque de ransomware es de 21 días; y el 66 % de las víctimas de ransomware reportan una pérdida significativa de ingresos después de un ataque exitoso.

En esta serie, desglosamos este enorme tema paso a paso. El ransomware es un problema de varias etapas, que requiere una solución de varias etapas que contenga el ataque de forma autónoma y eficaz en cualquiera de ellas. Siga leyendo para descubrir cómo la IA de autoaprendizaje y la respuesta autónoma detiene el ransomware antes de que despegue.

1. Initial intrusion (email)

Entrada inicial: la primera fase de un ataque de ransomware, se puede lograr mediante la fuerza bruta RDP (a través de un servicio de Internet expuesto), sitios web maliciosos y descargas de acceso directo, una amenaza desde dentro con credenciales de la empresa, vulnerabilidades del sistema y del software o cualquier otro número de vectores de ataque.

Pero el vector de ataque inicial más común es el correo electrónico. La mayor debilidad de seguridad de una organización suele ser su gente y los atacantes son buenos para encontrar formas de aprovecharla. Los correos electrónicos bien investigados, dirigidos y de aspecto legítimo están dirigidos a empleados que intentan solicitar una reacción: un clic de un enlace, una apertura de un archivo adjunto, o persuadirlos para que divulguen credenciales u otra información sensible.

Puertas de enlace: Detienen lo que se ha visto antes

La mayoría de las herramientas de correo electrónico convencionales se basan en indicadores anteriores de ataque para intentar detectar la amenaza que sigue. Si un correo electrónico procede de una dirección IP o dominio de correo electrónico de una lista bloqueada y utiliza malware conocido que se ha visto anteriormente en estado salvaje, es posible que se bloquee el ataque.

Pero la realidad es que los atacantes saben que la mayoría de las defensas toman este enfoque histórico y, por lo tanto, actualizan constantemente su infraestructura de ataque para eludir estas herramientas. Al 'comprar nuevos dominios' baratos o crear malware a medida con apenas pequeñas adaptaciones al código, pueden superar y aventajar al enfoque heredado adoptado por una puerta de enlace de correo electrónico típica.

Real-world example: Supply chain phishing attack

By contrast, Darktrace’s evolving understanding of ‘normal’ for every email user in the organization enables it to detect subtle deviations that point to a threat – even if the sender or any malicious contents of the email are unknown to threat intelligence. This is what enabled the technology to stop an attack that recently targeted McLaren Racing, with emails sent to a dozen employees in the organization each containing a malicious link. This possible precursor to ransomware bypassed conventional email tools – largely because it was sent from a known supplier – however Darktrace recognized the account hijack and held the email back.

*Ilustración 1: Una instantánea interactiva de Threat Visualizer de Darktrace detectando correo electrónico malicioso*

Lea el caso práctico completo

2. Intrusión inicial (lado del servidor)

Dado que las organizaciones cada vez amplían más su perímetro conectado a Internet, esta superficie de ataque aumentada ha allanado el camino para un aumento en los ataques de fuerza bruta y del lado del servidor.

Este año se han descubierto varias vulnerabilidades en servidores y sistemas orientados a Internet, y para los atacantes, atacar y explotar la infraestructura orientada al público es más fácil que nunca: explorar Internet en busca de sistemas vulnerables se simplifica con herramientas como Shodan o MassScan.

Los atacantes también pueden lograr una intrusión inicial a través de credenciales robadas o un ataque de fuerza bruta contra el protocolo de escritorio remoto (RDP) de un servidor. Es más, a menudo, los atacantes reutilizan credenciales legítimas de volcados de datos anteriores. Esto tiene una precisión mucho mayor y es menos ruidoso que un ataque clásico de fuerza bruta.

La mayoría de los ataques de ransomware utilizan el protocolo de escritorio remoto (RDP) como vector de entrada. Esto es parte de una tendencia más amplia de “living off the land”:usar herramientas legítimas listas para su uso (abuso de RDP, protocolo SMB1 o varias herramientas de línea de comandos WMI o Powershell) para nublar la detección y la atribución al combinarse con la actividad típica del administrador. No es suficiente asegurarse de que las copias de seguridad estén aisladas, las configuraciones reforzadas y los sistemas con parches; se necesita la detección en tiempo real de cada acción anómala.

Antivirus, firewalls y SIEM

En los casos de descargas de malware, el antivirus para endpoints detectará estos datos si, y solo si, el malware fue visto y grabado previamente. Los firewalls normalmente requieren una configuración por organización y, a menudo, deben modificarse en función de las necesidades de la empresa. Si el ataque llega al firewall donde una regla o firma no coincide, de nuevo, pasará el firewall.

Las herramientas SIEM y SOAR también buscan malware conocido que se esté descargando, aprovechan las reglas preprogramadas y utilizan respuestas preprogramadas. Aunque estas herramientas buscan patrones, estos patrones se definen de antemano, y este enfoque se basa en un nuevo ataque para tener rasgos suficientemente similares a los ataques que se han visto antes.

Ejemplo del mundo real: Ransomware Dharma

Darktrace detectó un ataque de ransomware Dharma dirigido a una organización en el Reino Unido que explotaba una conexión RDP abierta a través de servidores conectados a Internet. El servidor RDP comenzó a recibir un gran número de conexiones entrantes de direcciones IP poco comunes en Internet. Es muy probable que la credencial RDP utilizada en este ataque fuera robada antes del ataque, ya sea a través de métodos comunes de fuerza bruta, ataques de relleno de credenciales o phishing. De hecho, una técnica que está ganando popularidad es comprar credenciales RDP en marketplaces y pasar al acceso inicial.

Ilustración 2: Las infracciones del modelo que se desencadenaron durante el transcurso de este ataque, incluida la actividad anómala de RDP

Lamentablemente, en este caso, sin la Respuesta Autónoma instalada, el ataque de ransomware de Dharma continuó hasta sus etapas finales, donde el equipo de seguridad se vio obligado a tomar acciones difíciles y disruptivas, al tirar del enchufe del servidor RDP a mitad de camino de que se hubiera cifrado.

Lea el caso práctico completo

3. Establecer el punto de apoyo y C2

Ya sea a través de un phishing exitoso, un ataque de fuerza bruta o algún otro método, el atacante ingresa. Ahora, entra en contacto con el o los dispositivos controlados y establece un punto de apoyo.

Esta etapa permite que los atacantes controlen las etapas posteriores del ataque de forma remota. Durante estas comunicaciones de comando y control (C2), también puede pasar más malware del atacante a los dispositivos. Esto les ayuda a establecer una posición aún mayor dentro de la organización y los prepara para el movimiento lateral.

Los atacantes pueden adaptar la funcionalidad de malware con una amplia variedad de plug-ins listos para su uso, lo que les permite permanecer dentro de la empresa sin ser detectados. El ransomware más moderno y sofisticado es capaz de adaptarse por sí mismo al entorno circundante; y operar de forma autónoma, mezclándose con la actividad regular incluso cuando se desconecta de su servidor de mando y control. Estas cepas de ransomware «autosuficientes» plantean un gran problema para las defensas tradicionales que dependen de detener las amenazas únicamente por sus conexiones externas maliciosas.

Visualización de conexiones aisladas vs. comprensión de la empresa

Las herramientas de seguridad convencionales, como IDS y los firewalls o contrafuegos, tienden a considerar las conexiones de forma aislada en lugar de en el contexto de conexiones anteriores y potencialmente relevantes, lo que dificulta la detección de los ataques de comando y control.

Los ID y los firewall pueden bloquear dominios «conocidos y malos» o utilizar algún bloqueo geográfico, pero es probable que un atacante aproveche una nueva infraestructura.

Estas herramientas tampoco tienden a analizar cosas como la periodicidad, como si una conexión se está haciendo en un intervalo regular o irregular o la edad y rareza del dominio en el contexto del entorno.

Con la comprensión en constante evolución de Darktrace del territorio digital de la empresa, se pueden detectar conexiones C2 sospechosas y las descargas que las siguen, incluso cuando se realizan utilizando programas o métodos regulares. La tecnología de IA correlaciona múltiples y sutiles signos de amenaza, un pequeño subconjunto de los cuales incluye conexiones anómalas a endpoints nuevos o inusuales, descargas de archivos anómalos, escritorios remotos entrantes y descargas y cargas de datos inusuales.

Once they are detected as a threat, Darktrace RESPOND halts these connections and downloads, while allowing normal business activity to continue.

Ejemplo del mundo real: Ataque de WastedLocker

Cuando un ataque de ransomware de WastedLocker golpeó a una organización agrícola estadounidense, Darktrace detectó inmediatamente la actividad inicial inusual de SSL C2 (basada en una combinación rara de destino, JA3 inusuales y análisis de frecuencia). Antigena (en esta ocasión configurado en modo pasivo, y por lo tanto, sin permiso para pasar a la acción de forma autónoma) sugirió bloquear instantáneamente el tráfico C2 en el puerto 443 y el escaneo interno paralelo en el puerto 135.

*Ilustración 3: Threat Visualizer revela la acción que Antigena habría tomado*

When beaconing was later observed to bywce.payment.refinedwebs[.]com, this time over HTTP to /updateSoftwareVersion, Antigena escalated its response by blocking the further C2 channels.

*Ilustración 4: Antigena intensifica su respuesta*

Lea el caso práctico completo

4. Lateral movement

Una vez que un atacante ha establecido un punto de apoyo dentro de una organización, comienza a aumentar su conocimiento del territorio digital de la organización y su presencia dentro de ella. Así es como los atacantes encontrarán y tendrán acceso a los archivos que en última instancia intentarán exfiltrar y cifrar. Comienza el reconocimiento: escaneo de la red; construir una imagen de sus dispositivos y componentes; identificar la ubicación de los activos más valiosos.

A continuación, el atacante comienza a moverse lateralmente. Infectan más dispositivos y buscan escalar sus privilegios, por ejemplo, obteniendo credenciales de administrador, aumentando así su control sobre el entorno. Una vez que han obtenido autoridad y presencia dentro del patrimonio digital, pueden progresar a las etapas finales del ataque.

El ransomware moderno tiene funciones incorporadas que le permiten buscar automáticamente contraseñas almacenadas y propagarse a través de la red. Las cepas más sofisticadas están diseñadas para edificarse de forma diferente en distintos entornos, por lo que la firma cambia constantemente y es más difícil de detectar.

Herramientas heredadas: Una respuesta contundente a amenazas conocidas

Debido a que dependen de reglas y firmas estáticas, las soluciones heredadas tienen dificultades para evitar el movimiento lateral y la escalada de privilegios sin obstaculizar también las operaciones empresariales básicas. Mientras que en teoría, una organización que aprovecha los firewalls y NAC internamente con una segmentación de red adecuada y una configuración perfecta podría evitar el movimiento lateral entre redes, mantener un equilibrio perfecto entre los controles protectores y disruptivos es casi imposible.

Algunas organizaciones confían en los sistemas de prevención de intrusiones (IPS) para denegar el tráfico de red cuando se detectan amenazas conocidas en paquetes, pero como en las fases anteriores, el malware nuevo evadirá la detección, lo que requiere que la base de datos se actualice constantemente. Estas soluciones también se encuentran en los puntos de entrada/salida, lo que limita la visibilidad de la red. Un sistema de detección de intrusiones (IDS) puede estar fuera de línea, pero no tiene capacidades de respuesta.

Un enfoque basado en el autoaprendizaje

La IA de Darktrace aprende «por sí misma» para la organización, lo que le permite detectar actividades sospechosas indicativas de movimiento lateral, independientemente de si el atacante utiliza nueva infraestructura o si vive "off the land”. La actividad inusual que Darktrace detecta incluye actividad de escaneado, SMB, RDP y SSH inusual. Otros modelos que se activan en esta etapa incluyen:

Actividad sospechosa en dispositivos de alto riesgo
EXE numérico en escritura SMB
New or Uncommon Service Control

A continuación, Respuesta Autónoma toma medidas específicas para detener la amenaza en esta fase, bloqueando conexiones anómalas, aplicando el «patrón de vida» del dispositivo infectado o del grupo (agrupa automáticamente los dispositivos en grupos de pares e impide que un dispositivo haga algo que su grupo de pares no haya hecho).

Cuando el comportamiento malintencionado persiste, y solo si es necesario, Darktrace pondrá en cuarentena un dispositivo infectado.

Real-world example: Unusual chain of RDP connections

En una organización de Singapur, un servidor comprometido llevó a la creación de un botnet, que comenzó a moverse lateralmente, principalmente mediante el establecimiento de cadenas de conexiones RDP inusuales. A continuación, el servidor comenzó a realizar conexiones SMB y RPC externas a endpoints poco comunes a través de Internet, en un intento de encontrar más servidores vulnerables.

Otras actividades de movimiento lateral detectadas por Darktrace incluyeron los repetidos intentos fallidos de acceder a varios dispositivos internos a través del protocolo de uso compartido de archivos SMB con una gama de nombres de usuario diferentes, lo que implica intentos de acceso a la red mediante la fuerza bruta.

*Ilustración 5: El ciberanalista de IA de Darktrace revela un escaneo TCP sospechoso seguido de una cadena sospechosa de conexiones RDP administrativas*

Lea el caso práctico completo

5. Data exfiltration

En el pasado, el ransomware consistía simplemente en cifrar un sistema operativo y archivos de red.

En un ataque moderno, a medida que las organizaciones se aseguran contra el cifrado malintencionado al hacerse cada vez más diligentes con las copias de seguridad de datos, los ciberdelincuentes se han desplazado hacia la «doble extorsión», donde filtran los datos clave y destruyen las copias de seguridad antes de que se produzca el cifrado. Los datos exfiltrados se utilizan para chantajear a las organizaciones y los atacantes amenazan con publicar información confidencial en línea o venderla a los competidores de la organización si no se les paga.

Las variantes de ransomware modernas también buscan repositorios de almacenamiento de archivos en la nube como Box, Dropbox y otros.

Muchos de estos incidentes no son públicos, porque si se roba la propiedad intelectual, las organizaciones no siempre están legalmente obligadas a divulgarla. Sin embargo, en el caso de los datos de los clientes, las organizaciones están obligadas por ley a revelar el incidente y hacer frente a la carga adicional de un incumplimiento normativo; y hemos visto estas situaciones en los últimos años (Marriot, $23,8 millones; British Airways, $26 millones; Equifax, $575 millones). También está el golpe a la reputación asociado a tener que informar a los clientes de que se ha producido una filtración de datos.

Herramientas heredadas: La historia de siempre

Para aquellos que ya llevan tiempo leyéndonos, la narrativa por ahora les sonará familiar: para detener un ataque ransomware en esta etapa, la mayoría de las defensas se basan en definiciones pre-programadas de "malo" o tienen reglas construidas para combatir diferentes escenarios, lo que pone a las organizaciones en un juego arriesgado e interminable de gato y ratón.

Un firewall y un proxy podrían bloquear las conexiones basadas en políticas preprogramadas basadas en endpoints o volúmenes de datos específicos, pero es probable que un atacante “live off the land” entre utilizando un servicio generalmente permitido por la empresa.

La eficacia de estas herramientas variará en función de los volúmenes de datos: podrían ser eficaces para los ataques de «smash and grab» mediante malware conocido; y sin emplear ninguna técnica de evasión de defensa, pero es poco probable que encuentren una exfiltración «low and slow» y cepas nuevas o sofisticadas.

On the other hand, because by nature it involves a break from expected behavior, even less conspicuous, low and slow data exfiltration is detected by Darktrace and stopped with Darktrace RESPOND. No confidential files are lost, and attackers are unable to extort a ransom payment through blackmail.

Real-world example: Unusual chain of RDP connections

It becomes more difficult to find examples of Darktrace RESPOND stopping ransomware at these later stages, as the threat is usually contained before it gets this far. This is the double-edged sword of effective security – early containment makes for bad storytelling! However, we can see the effects of a double extortion ransomware attack on an energy company in Canada. The organization had the Enterprise Immune System but no Antigena, and without anyone actively monitoring Darktrace’s AI detections, the attack was allowed to unfold.

El atacante logró conectarse a un servidor de archivos interno y descargar 1,95 TB de datos. También se vio que el dispositivo descargaba el software Rclone, una herramienta de código abierto, que probablemente se aplicó para sincronizar datos automáticamente con el servicio de almacenamiento de archivos legítimo pCloud. Una vez completada la exfiltración de datos, el dispositivo “serverps” finalmente comenzó a cifrar archivos en 12 dispositivos con la extensión *.06d79000. Como ocurre con la mayoría de los incidentes de ransomware, el cifrado ocurrió fuera del horario de oficina (durante la noche en hora local) para minimizar la posibilidad de que el equipo de seguridad respondiera rápidamente.

Lea todos los detalles del ataque

Cabe señalar que el orden exacto de las etapas 3 a 5 anteriores no es fijo y varía según el ataque. A veces los datos son exfiltrados y luego hay más movimiento lateral y balizas C2 adicionales. Este período entero se conoce como el «tiempo de permanencia». A veces se lleva a cabo en solo unos días, otras veces los atacantes pueden persistir durante meses, recopilando lentamente más datos de información y exfiltrando datos de forma «low and slow» para evitar la detección de herramientas basadas en reglas que están configuradas para marcar cualquier transferencia de datos por encima de un determinado umbral. Solo a través de una comprensión de la actividad maliciosa en su totalidad a lo largo del tiempo puede una tecnología detectar este nivel de actividad y permitir que el equipo de seguridad elimine la amenaza antes de que llegue a las últimas y más dañinas etapas del ransomware.

6. Cifrado de datos

Mediante el cifrado simétrico, el asimétrico o una combinación de ambos, los atacantes intentan dejar tantos datos inutilizables en la red de la empresa como puedan antes de que se detecte el ataque.

Dado que los atacantes tienen acceso a las claves de descifrado pertinentes, ahora tienen el control total de lo que sucede con los datos de la empresa.

Pre-programmed response and disruption

Hay muchas familias de herramientas que afirman detener el cifrado de esta manera, pero cada una contiene puntos ciegos que permiten a un atacante sofisticado evadir la detección en esta etapa importante. Cuando se toman medidas, a menudo son muy perturbadoras, lo que provoca cierres de servicios importantes e impide que una empresa continúe con su funcionamiento habitual.

Los firewalls internos impiden que los clientes accedan a los servidores, por lo que una vez que un atacante ha penetrado en los servidores utilizando cualquiera de las técnicas descritas anteriormente, tienen total libertad para actuar como desean.

Del mismo modo, las herramientas antivirus solo buscan malware conocido. Si el malware no se ha detectado hasta este punto, es muy poco probable que el antivirus actúe aquí.

Detener el cifrado de forma autónoma

Incluso si se utilizan herramientas y métodos conocidos para hacerlo, Respuesta Autónoma puede aplicar el «patrón de vida» normal para los dispositivos que intentan cifrar, sin utilizar reglas o firmas estáticas. Esta acción se puede realizar de forma independiente o mediante integraciones con controles de seguridad nativos, lo que maximiza el retorno de otras inversiones en seguridad. Con una Respuesta Autónoma dirigida, las operaciones empresariales normales pueden continuar mientras se impide el cifrado.

7. Ransom note

Es importante tener en cuenta que en las etapas anteriores al cifrado, este ataque de ransomware aún no es “ransomware”. Solo en esta etapa obtiene su nombre.

Aparece la nota de rescate. Los atacantes solicitan el pago a cambio de una clave de descifrado y amenazan la liberación de datos confidenciales exfiltrados. La organización debe decidir si pagar el rescate o perder sus datos, posiblemente a su competencia o al público. La demanda media de los ciberdelincuentes de ransomware aumentó en 2021 a $5,3 millones, con la empresa procesadora de carne JBS pagando $11 millones y DarkSide recibiendo más de $90 millones en pagos de Bitcoin tras el incidente de Colonial Pipeline.

Todas las etapas hasta este punto representan un típico ataque ransomware tradicional. Sin embargo, el ransomware está pasando del cifrado indiscriminado de dispositivos a los atacantes que se dirigen a las interrupciones del negocio en general, utilizando varias técnicas para mantener a sus víctimas bajo chantaje. Los métodos adicionales de extorsión incluyen no solo la exfiltración de datos, sino también el secuestro de dominios corporativos, la eliminación o el cifrado de copias de seguridad, los ataques contra sistemas cercanos o los sistemas de control industriales, enfocarse en los VIP de la empresa... la lista continúa.

A veces, los atacantes saltarán de la etapa 2 a la 6 y pasarán directamente a la extorsión. Darktrace ha detenido recientemente un ataque por correo electrónico que mostraba a un atacante evitando el trabajo duro e intentar saltar directamente a la extorsión en un correo electrónico. El atacante afirmó que había puesto en peligro los datos confidenciales de la organización, solicitando el pago en bitcoin por su misma devolución. Independientemente de que las afirmaciones fueran ciertas o no, este ataque muestra que el cifrado no siempre es necesario para la extorsión y este tipo de acoso existe en múltiples formas.

*Ilustración 6: Darktrace retiene el correo electrónico infractor, protegiendo al destinatario y a la organización de los daños*

As with the email example we explored in the first post of this series, Darktrace/Email was able to step in and stop this email where other email tools would have let it through, stopping this potentially costly extortion attempt.

Ya sea a través del cifrado o algún otro tipo de chantaje, el mensaje es el mismo cada vez. Paga, o sufrirás las consecuencias. En esta etapa, es demasiado tarde para empezar a pensar en cualquiera de las opciones descritas anteriormente que estaban disponibles para la organización, que habría detenido el ataque en sus primeras etapas. Silo hay un dilema. “Pagar o no pagar”, esa es la cuestión.

A menudo, la gente cree que sus problemas de pago han terminado después de la etapa de pago de rescate, pero desafortunadamente, este es solo el comienzo…

8. Limpieza

Se hacen esfuerzos para tratar de asegurar las vulnerabilidades que permitieron que el ataque se produjera inicialmente. La organización debería ser consciente de que aproximadamente el 80 % de las víctimas de ransomware volverán a ser blanco de ataque de nuevo en el futuro.

Las herramientas heredadas en gran medida no arrojan luz sobre las vulnerabilidades que permitieron la filtración inicial. Al igual que buscar una aguja en un pajar incompleto, los equipos de seguridad tendrán dificultades para encontrar información útil dentro de los registros limitados que ofrecen los firewalls y los IDS. Las soluciones antivirus pueden revelar malware conocido pero no detectar vectores de ataque novedosos.

With Darktrace’s Cyber AI Analyst, organizations are given full visibility over every stage of the attack, across all coverage areas of their digital estate, taking the mystery out of ransomware attacks. They are also able to see the actions that would have been taken to halt the attack by Darktrace RESPOND.

9. Recuperación

La organización comienza a intentar volver a ordenar su entorno digital. Incluso si ha pagado por una clave de descifrado, muchos archivos pueden permanecer cifrados o dañados. Más allá de los costos del pago de rescate, los cierres de la red, la interrupción del negocio, los esfuerzos para arreglar y los reveses de relaciones públicas, todo ello conlleva pérdidas financieras considerables.

La organización víctima también puede sufrir costes de reputación adicionales, ya que el 66 % de las víctimas informa de una pérdida significativa de ingresos tras un ataque de ransomware y el 32 % informa de la pérdida de talento de nivel C como resultado directo del ransomware.

Conclusion

Aunque las etapas de alto nivel descritas anteriormente son comunes en la mayoría de los ataques de ransomware, en el momento en que empiece a ver los detalles, se dará cuenta de que cada ataque de ransomware es diferente.

Dado que muchos ataques de ransomware dirigidos se producen a través de filiales de ransomware, las herramientas, técnicas y procedimientos (TTP) que se muestran durante las intrusiones varían ampliamente, incluso cuando se utiliza el mismo malware ransomware. Esto significa que incluso si se comparan dos ataques de ransomware diferentes con la misma familia de ransomware, es probable que se encuentren TTP completamente diferentes. Esto hace que sea imposible predecir cómo será el ransomware del mañana.

This is the nail in the coffin for traditional tooling which is based on historic attack data. The above examples demonstrate that Self-Learning technology and Autonomous Response is the only solution that stops ransomware at every stage, across email and network.

DENTRO DEL SOC

Darktrace son expertos de talla mundial en inteligencia de amenazas, caza de amenazas y respuesta a incidentes, y proporcionan apoyo al SOC las 24 horas del día a miles de clientes de Darktrace en todo el mundo. Inside the SOC está redactado exclusivamente por estos expertos y ofrece un análisis de los ciberincidentes y las tendencias de las amenazas, basado en la experiencia real sobre el terreno.

AUTOR

SOBRE EL AUTOR

Dan Fein

VP, Producto

Based in New York, Dan joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s product suite. Dan has a particular focus on Darktrace/Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.

Watch the NIS2 Webinar

share this article

CATEGORÍAS

McLaren

PREVENT

RESPOND

Cloud

Ransomware

Dentro del SOC

Liderazgo del pensamiento

Crypto

Hallazgos de amenazas

CASOS DE USO

PRODUCTOS DESTACADOS

Cobertura básica

No se ha encontrado ningún artículo.

Apr 9, 2024

Managing Risk Beyond CVE Scores With the Latest Innovations to Darktrace/OT

Apr 9, 2024

Looking Beyond Secure Email Gateways with the Latest Innovations to Darktrace/Email

Apr 7, 2024

The State of AI in Cybersecurity: Unveiling Global Insights from 1,800 Security Practitioners

Apr 9, 2024

Beyond DMARC: Navigating the Gaps in Email Security

Feb 29, 2024

More in this series

No se ha encontrado ningún artículo.

Blog
‍

No se ha encontrado ningún artículo.

The State of AI in Cybersecurity: How AI will impact the cyber threat landscape in 2024

Apr 2024

About the AI Cybersecurity Report

We surveyed 1,800 CISOs, security leaders, administrators, and practitioners from industries around the globe. Our research was conducted to understand how the adoption of new AI-powered offensive and defensive cybersecurity technologies are being managed by organizations.

This blog is continuing the conversation from our last blog post “The State of AI in Cybersecurity: Unveiling Global Insights from 1,800 Security Practitioners” which was an overview of the entire report. This blog will focus on one aspect of the overarching report, the impact of AI on the cyber threat landscape.

To access the full report click here.

Are organizations feeling the impact of AI-powered cyber threats?

Nearly three-quarters (74%) state AI-powered threats are now a significant issue. Almost nine in ten (89%) agree that AI-powered threats will remain a major challenge into the foreseeable future, not just for the next one to two years.

However, only a slight majority (56%) thought AI-powered threats were a separate issue from traditional/non AI-powered threats. This could be the case because there are few, if any, reliable methods to determine whether an attack is AI-powered.

Identifying exactly when and where AI is being applied may not ever be possible. However, it is possible for AI to affect every stage of the attack lifecycle. As such, defenders will likely need to focus on preparing for a world where threats are unique and are coming faster than ever before.

a hypothetical cyber attack augmented by AI at every stage

Are security stakeholders concerned about AI’s impact on cyber threats and risks?

The results from our survey showed that security practitioners are concerned that AI will impact organizations in a variety of ways. There was equal concern associated across the board – from volume and sophistication of malware to internal risks like leakage of proprietary information from employees using generative AI tools.

What this tells us is that defenders need to prepare for a greater volume of sophisticated attacks and balance this with a focus on cyber hygiene to manage internal risks.

One example of a growing internal risks is shadow AI. It takes little effort for employees to adopt publicly-available text-based generative AI systems to increase their productivity. This opens the door to “shadow AI”, which is the use of popular AI tools without organizational approval or oversight. Resulting security risks such as inadvertent exposure of sensitive information or intellectual property are an ever-growing concern.

Are organizations taking strides to reduce risks associated with adoption of AI in their application and computing environment?

71.2% of survey participants say their organization has taken steps specifically to reduce the risk of using AI within its application and computing environment.

16.3% of survey participants claim their organization has not taken these steps.

These findings are good news. Even as enterprises compete to get as much value from AI as they can, as quickly as possible, they’re tempering their eager embrace of new tools with sensible caution.

Still, responses varied across roles. Security analysts, operators, administrators, and incident responders are less likely to have said their organizations had taken AI risk mitigation steps than respondents in other roles. In fact, 79% of executives said steps had been taken, and only 54% of respondents in hands-on roles agreed. It seems that leaders believe their organizations are taking the needed steps, but practitioners are seeing a gap.

Do security professionals feel confident in their preparedness for the next generation of threats?

A majority of respondents (six out of every ten) believe their organizations are inadequately prepared to face the next generation of AI-powered threats.

The survey findings reveal contrasting perceptions of organizational preparedness for cybersecurity threats across different regions and job roles. Security administrators, due to their hands-on experience, express the highest level of skepticism, with 72% feeling their organizations are inadequately prepared. Notably, respondents in mid-sized organizations feel the least prepared, while those in the largest companies feel the most prepared.

Regionally, participants in Asia-Pacific are most likely to believe their organizations are unprepared, while those in Latin America feel the most prepared. This aligns with the observation that Asia-Pacific has been the most impacted region by cybersecurity threats in recent years, according to the IBM X-Force Threat Intelligence Index.

The optimism among Latin American respondents could be attributed to lower threat volumes experienced in the region, but it's cautioned that this could change suddenly (1).

What are biggest barriers to defending against AI-powered threats?

The top-ranked inhibitors center on knowledge and personnel. However, issues are alluded to almost equally across the board including concerns around budget, tool integration, lack of attention to AI-powered threats, and poor cyber hygiene.

The cybersecurity industry is facing a significant shortage of skilled professionals, with a global deficit of approximately 4 million experts (2). As organizations struggle to manage their security tools and alerts, the challenge intensifies with the increasing adoption of AI by attackers. This shift has altered the demands on security teams, requiring practitioners to possess broad and deep knowledge across rapidly evolving solution stacks.

Educating end users about AI-driven defenses becomes paramount as organizations grapple with the shortage of professionals proficient in managing AI-powered security tools. Operationalizing machine learning models for effectiveness and accuracy emerges as a crucial skill set in high demand. However, our survey highlights a concerning lack of understanding among cybersecurity professionals regarding AI-driven threats and the use of AI-driven countermeasures indicating a gap in keeping pace with evolving attacker tactics.

The integration of security solutions remains a notable problem, hindering effective defense strategies. While budget constraints are not a primary inhibitor, organizations must prioritize addressing these challenges to bolster their cybersecurity posture. It's imperative for stakeholders to recognize the importance of investing in skilled professionals and integrated security solutions to mitigate emerging threats effectively.

To access the full report click here.

References

1. IBM, X-Force Threat Intelligence Index 2024, Available at: https://www.ibm.com/downloads/cas/L0GKXDWJ

2. ISC2, Cybersecurity Workforce Study 2023, Available at: https://media.isc2.org/-/media/Project/ISC2/Main/Media/ documents/research/ISC2_Cybersecurity_Workforce_Study_2023.pdf?rev=28b46de71ce24e6ab7705f6e3da8637e

About the author

Blog
‍

Dentro del SOC

Sliver C2: How Darktrace Provided a Sliver of Hope in the Face of an Emerging C2 Framework

Apr 2024

Offensive Security Tools

As organizations globally seek to for ways to bolster their digital defenses and safeguard their networks against ever-changing cyber threats, security teams are increasingly adopting offensive security tools to simulate cyber-attacks and assess the security posture of their networks. These legitimate tools, however, can sometimes be exploited by real threat actors and used as genuine actor vectors.

What is Sliver C2?

Sliver C2 is a legitimate open-source command-and-control (C2) framework that was released in 2020 by the security organization Bishop Fox. Silver C2 was originally intended for security teams and penetration testers to perform security tests on their digital environments [1] [2] [5]. In recent years, however, the Sliver C2 framework has become a popular alternative to Cobalt Strike and Metasploit for many attackers and Advanced Persistence Threat (APT) groups who adopt this C2 framework for unsolicited and ill-intentioned activities.

The use of Sliver C2 has been observed in conjunction with various strains of Rust-based malware, such as KrustyLoader, to provide backdoors enabling lines of communication between attackers and their malicious C2 severs [6]. It is unsurprising, then, that it has also been leveraged to exploit zero-day vulnerabilities, including critical vulnerabilities in the Ivanti Connect Secure and Policy Secure services.

In early 2024, Darktrace observed the malicious use of Sliver C2 during an investigation into post-exploitation activity on customer networks affected by the Ivanti vulnerabilities. Fortunately for affected customers, Darktrace DETECT™ was able to recognize the suspicious network-based connectivity that emerged alongside Sliver C2 usage and promptly brought it to the attention of customer security teams for remediation.

How does Silver C2 work?

Given its open-source nature, the Sliver C2 framework is extremely easy to access and download and is designed to support multiple operating systems (OS), including MacOS, Windows, and Linux [4].

Sliver C2 generates implants (aptly referred to as ‘slivers’) that operate on a client-server architecture [1]. An implant contains malicious code used to remotely control a targeted device [5]. Once a ‘sliver’ is deployed on a compromised device, a line of communication is established between the target device and the central C2 server. These connections can then be managed over Mutual TLS (mTLS), WireGuard, HTTP(S), or DNS [1] [4]. Sliver C2 has a wide-range of features, which include dynamic code generation, compile-time obfuscation, multiplayer-mode, staged and stageless payloads, procedurally generated C2 over HTTP(S) and DNS canary blue team detection [4].

Why Do Attackers Use Sliver C2?

Amidst the multitude of reasons why malicious actors opt for Sliver C2 over its counterparts, one stands out: its relative obscurity. This lack of widespread recognition means that security teams may overlook the threat, failing to actively search for it within their networks [3] [5].

Although the presence of Sliver C2 activity could be representative of authorized and expected penetration testing behavior, it could also be indicative of a threat actor attempting to communicate with its malicious infrastructure, so it is crucial for organizations and their security teams to identify such activity at the earliest possible stage.

Darktrace’s Coverage of Sliver C2 Activity

Darktrace’s anomaly-based approach to threat detection means that it does not explicitly attempt to attribute or distinguish between specific C2 infrastructures. Despite this, Darktrace was able to connect Sliver C2 usage to phases of an ongoing attack chain related to the exploitation of zero-day vulnerabilities in Ivanti Connect Secure VPN appliances in January 2024.

Around the time that the zero-day Ivanti vulnerabilities were disclosed, Darktrace detected an internal server on one customer network deviating from its expected pattern of activity. The device was observed making regular connections to endpoints associated with Pulse Secure Cloud Licensing, indicating it was an Ivanti server. It was observed connecting to a string of anomalous hostnames, including ‘cmjk3d071amc01fu9e10ae5rt9jaatj6b.oast[.]live’ and ‘cmjft14b13vpn5vf9i90xdu6akt5k3pnx.oast[.]pro’, via HTTP using the user agent ‘curl/7.19.7 (i686-redhat-linux-gnu) libcurl/7.63.0 OpenSSL/1.0.2n zlib/1.2.7’.

Darktrace further identified that the URI requested during these connections was ‘/’ and the top-level domains (TLDs) of the endpoints in question were known Out-of-band Application Security Testing (OAST) server provider domains, namely ‘oast[.]live’ and ‘oast[.]pro’. OAST is a testing method that is used to verify the security posture of an application by testing it for vulnerabilities from outside of the network [7]. This activity triggered the DETECT model ‘Compromise / Possible Tunnelling to Bin Services’, which breaches when a device is observed sending DNS requests for, or connecting to, ‘request bin’ services. Malicious actors often abuse such services to tunnel data via DNS or HTTP requests. In this specific incident, only two connections were observed, and the total volume of data transferred was relatively low (2,302 bytes transferred externally). It is likely that the connections to OAST servers represented malicious actors testing whether target devices were vulnerable to the Ivanti exploits.

The device proceeded to make several SSL connections to the IP address 103.13.28[.]40, using the destination port 53, which is typically reserved for DNS requests. Darktrace recognized that this activity was unusual as the offending device had never previously been observed using port 53 for SSL connections.

Figure 1: Model Breach Event Log displaying the ‘Application Protocol on Uncommon Port’ DETECT model breaching in response to the unusual use of port 53.

Figure 2: Model Breach Event Log displaying details pertaining to the ‘Application Protocol on Uncommon Port’ DETECT model breach, including the 100% rarity of the port usage.

Further investigation into the suspicious IP address revealed that it had been flagged as malicious by multiple open-source intelligence (OSINT) vendors [8]. In addition, OSINT sources also identified that the JARM fingerprint of the service running on this IP and port (00000000000000000043d43d00043de2a97eabb398317329f027c66e4c1b01) was linked to the Sliver C2 framework and the mTLS protocol it is known to use [4] [5].

An Additional Example of Darktrace’s Detection of Sliver C2

However, it was not just during the January 2024 exploitation of Ivanti services that Darktrace observed cases of Sliver C2 usages across its customer base. In March 2023, for example, Darktrace detected devices on multiple customer accounts making beaconing connections to malicious endpoints linked to Sliver C2 infrastructure, including 18.234.7[.]23 [10] [11] [12] [13].

Darktrace identified that the observed connections to this endpoint contained the unusual URI ‘/NIS-[REDACTED]’ which contained 125 characters, including numbers, lower and upper case letters, and special characters like “_”, “/”, and “-“, as well as various other URIs which suggested attempted data exfiltration:

‘/upload/api.html?c=[REDACTED] &fp=[REDACTED]’

‘/samples.html?mx=[REDACTED] &s=[REDACTED]’
‘/actions/samples.html?l=[REDACTED] &tc=[REDACTED]’
‘/api.html?gf=[REDACTED] &x=[REDACTED]’
‘/samples.html?c=[REDACTED] &zo=[REDACTED]’

This anomalous external connectivity was carried out through multiple destination ports, including the key ports 443 and 8888.

Darktrace additionally observed devices on affected customer networks performing TLS beaconing to the IP address 44.202.135[.]229 with the JA3 hash 19e29534fd49dd27d09234e639c4057e. According to OSINT sources, this JA3 hash is associated with the Golang TLS cipher suites in which the Sliver framework is developed [14].

Conclusion

Despite its relative novelty in the threat landscape and its lesser-known status compared to other C2 frameworks, Darktrace has demonstrated its ability effectively detect malicious use of Sliver C2 across numerous customer environments. This included instances where attackers exploited vulnerabilities in the Ivanti Connect Secure and Policy Secure services.

While human security teams may lack awareness of this framework, and traditional rules and signatured-based security tools might not be fully equipped and updated to detect Sliver C2 activity, Darktrace’s Self Learning AI understands its customer networks, users, and devices. As such, Darktrace is adept at identifying subtle deviations in device behavior that could indicate network compromise, including connections to new or unusual external locations, regardless of whether attackers use established or novel C2 frameworks, providing organizations with a sliver of hope in an ever-evolving threat landscape.

Credit to Natalia Sánchez Rocafort, Cyber Security Analyst, Paul Jennings, Principal Analyst Consultant