Muchos actores de amenazas están recurriendo al malware para escanear vulnerabilidades de software que pueden utilizar en futuros ciberataques.
Los investigadores de seguridad de Unit 42, la rama de inteligencia de amenazas del proveedor de ciberseguridad Palo Alto Networks, descubrieron una cantidad significativa de escaneos iniciados por malware entre los ataques de escaneo que detectaron en 2023.
Análisis de vulnerabilidades tradicional explicado
El escaneo de vulnerabilidades es un paso de reconocimiento generalizado para los actores maliciosos dispuestos a implementar ciberataques.
Al igual que el escaneo de puertos y la toma de huellas digitales del sistema operativo (SO), el escaneo de vulnerabilidades implica iniciar solicitudes de red en un intento de explotar las vulnerabilidades potenciales de los hosts de destino.
Los enfoques tradicionales de escaneo de vulnerabilidades se inician desde un host de destino benigno (SO, enrutador…).
Los enrutadores, en particular, han sido extremadamente populares entre los atacantes. En incidentes recientes, piratas informáticos rusos intentaron secuestrar Ubiquiti EdgeRouters y una botnet china para pequeñas oficinas domésticas (SOHO) se ha dirigido a enrutadores Cisco y NetGear.
Leer más: Estados Unidos frustra la campaña de ciberespionaje tras el tifón Volt mediante la interrupción del enrutador
Aprovechar los dispositivos comprometidos para el análisis de vulnerabilidades
Sin embargo, los investigadores de la Unidad 42 han notado que en 2023 un número creciente de actores de amenazas llevaron a cabo su actividad de escaneo de vulnerabilidades desde un host previamente comprometido.
Este tipo de análisis de vulnerabilidades basado en malware permite una tarea más sigilosa y eficiente:
Al utilizar un host comprometido, los actores de amenazas pueden:
- Cubre sus huellas más fácilmente
- Evitar geovallas
- Ampliar las redes de bots (botnets) que están utilizando
- Aprovechar los recursos de estos dispositivos comprometidos para generar un mayor volumen de solicitudes de escaneo en comparación con lo que podrían lograr usando solo sus propios dispositivos.
La telemetría de la Unidad 42 mostró que muchos grupos de actividades de escaneo de vulnerabilidades apuntaban a vulnerabilidades en productos básicos como las soluciones Connect Secure y Policy Secure de Ivanti y MOVEit Transfer de Progress.
Ataques de escaneo impulsados por malware
Al analizar los registros relevantes, los investigadores de la Unidad 42 descubrieron evidencia de un nuevo modelo de amenaza para ataques de escaneo impulsados por malware.
En este modelo, los atacantes infectan un dispositivo y utilizan sus recursos para realizar un escaneo.
Los investigadores explicaron: “Por lo general, una vez que un dispositivo se ve comprometido por malware, este malware se dirige a dominios de control y comando (C2) controlados por el atacante para obtener instrucciones. Los actores de amenazas pueden ordenar al malware que realice ataques de escaneo”.
Después de recibir esta instrucción, el malware inicia solicitudes de escaneo a varios objetivos utilizando los recursos del dispositivo infectado.
El resultado ideal para el atacante es encontrar y explotar objetivos vulnerables.
“Dependiendo del tipo de ataque planeado por el actor de la amenaza, los objetivos pueden variar. [Additionally]un atacante también podría estar intentando explotar tantos sitios web como pueda para diversos fines, como difundir una botnet. En ese caso, un atacante ampliaría su alcance a una variedad de objetivos diferentes”, agregaron los investigadores.
Una de las botnets más comunes es Mirai, un malware descubierto en 2016 por el grupo de investigación de seguridad MalwareMustDie.
Mirai convierte los dispositivos en red que ejecutan Linux en bots controlados de forma remota que pueden usarse como parte de una botnet en ataques de red a gran escala.
