Malware Dridex

El malware Dridex (también conocido como Bugat y Cridex) está clasificado como infosecuestrador y troyano con sofisticadas capacidades de botnet, lo que lo convierte en una empresa de malware como servicio (MaaS) muy rentable para el grupo cibercriminal Evil Corp. El tamaño de la botnet de Dridex lo distingue como una de las cepas de malware más activas en el entorno global de amenazas.

Dridex tiene una larga historia y surgió de los mismos orígenes que Emotet: Ambos se originaron como el prolífico troyano bancario malicioso Zeus, identificado por primera vez en 2006 y cuyo código fuente se filtró públicamente en 2011. La primera versión de Dridex surgió junto a Emtotet en 2014 de las cenizas de una operación del FBI que intentaba acabar con un grupo de hackers rusos, Business Club. Dridex todavía utiliza parte del código fuente de Zeus y sigue los pasos de Zeus al consolidar a sus víctimas en una botnet zombi global. 

La red global de bots Dridex se segmenta en bloques y se alquila a los afiliados de Evil Corp, que la utilizan para difundir phishing y malspam con el fin de hacer crecer la red de bots y lanzar ataquesde ransomware , normalmenteimportando el ransomware BitPaymer, otro producto de Evil Corp. Los afiliados de Evil Corp pagan una cuota mensual fija por bloque de bots zombis y, según se informa, devuelven a Evil Corp la mitad de cualquier rescate extorsionado. El modelo MaaS basado en la red de bots Dridex ha generado a Evil Corp más de 100 millones de dólares de ganancias ilícitas y, aunque el Departamento de Justicia de Estados Unidos y el FBI acusaron a dos rusos de piratería informática y fraude bancario en 2019, no se han realizado arrestos a pesar de una recompensa de 3 millones de dólares.

Los ataques de primera fase de Dridex suelen desplegarse en campañas de phishing y malspam que utilizan un documento de Microsoft Office protegido con contraseña que contiene una macro VBA maliciosa, pero se distribuyen en otros formatos. Una vez que ha comprometido a una víctima, Dridex aprovecha su diseño modular para importar componentes en función de la tarea que el operador quiera que realice el sistema infectado.

Las tácticas de segunda fase de Dridex incluyen:

• Mantener la persistencia inyectando llamadas a su ejecutable en las tareas programadas de Windows y en las claves de registro Autorun. 
• Actuar como bot de spam para que los atacantes realicen campañas de phishing y malspam a distancia, protegiendo eficazmente la identidad de los atacantes.
• Robo y filtración de contraseñas y datos de correo electrónico de cientos de aplicaciones.
• Uso de múltiples técnicas de inyección web para infectar navegadores y robar datos de inicio de sesión y tokens de autenticación multifactor (MFA) y tokens de sesión de sitios web bancarios y de criptomonedas.
• Utiliza varias combinaciones de protocolos para eludir los cortafuegos; normalmente, TCP/HTTP para enmascarar sus comunicaciones como tráfico normal de Internet, pero también el protocolo de transmisión UDP y Secured Over Credential-Based Kerberos Services (SOCKS) para las conexiones proxy.
• Instalación de módulos VNC para obtener conexiones de escritorio remoto
• Funciones de vigilancia, como la filtración de pulsaciones de teclas y capturas de pantalla.
• Atacar entornos de investigación de malware borrando el registro de arranque maestro (MBR) para inutilizar el sistema.

La capacidad más impresionante de Dridex es su avanzada red de bots peer-to-peer (P2P), que comprende varias capas jerárquicas de infraestructura y cadenas de proxy multisalto. Esta arquitectura dificulta la identificación de la fuente de mando y control (C2) más lejana, ya que los front-ends C2 intermedios se comunican directamente con nodos maestros locales comprometidos que, a su vez, gestionan un grupo de bots zombis locales. Esta infraestructura escalonada también reduce eficazmente el tráfico que debe atravesar el perímetro de la red al mantener cachés locales de módulos.

Dridex también ha introducido varias técnicas nunca vistas que han contribuido a su éxito, como AtomBombing, que inyecta y ejecuta código en otro proceso sin utilizar las llamadas a la API estándar utilizadas por el malware. En su lugar, AtomBombing secuestra las "tablas de átomos" de Windows, ubicaciones de memoria donde una aplicación almacena temporalmente funciones. Dridex fue pionero en la técnica AtomBombing, inyectando sigilosamente sus comandos.

Protegerse contra Dridex requiere un sólido programa de ciberseguridad empresarial, que incluya una seguridad de endpoints que detecte y bloquee las nuevas técnicas. Las siguientes son tácticas defensivas para mitigar un ataque Dridex:

• Asegúrese de que las aplicaciones de Office están configuradas para desactivar todas las macros sin notificación o desactivar todas las macros excepto las firmadas digitalmente. 
• Preste especial atención a las notificaciones de advertencia de los clientes de correo electrónico y las aplicaciones de Office que pueden alertarle de contextos sospechosos, como archivos que no han sido analizados en busca de malware o que contienen macros VBA.
• Considere la posibilidad de impartir formación de concienciación a los usuarios para educar al personal sobre las técnicas de phishing y desarrolle procedimientos operativos estándar (SOP) para el tratamiento de correos electrónicos y documentos sospechosos.
• Configurar los clientes de correo electrónico para que notifiquen a los usuarios cuando los mensajes procedan de fuera de la organización.
• Implantar una estrategia de copia de seguridad fiable con copias de seguridad offline bien protegidas y poner en práctica procedimientos de recuperación en caso de catástrofe para garantizar el cumplimiento de los objetivos de tiempo medio de recuperación (MTTR).
• Utilizar un proxy de contenidos para supervisar el uso de Internet y restringir el acceso de los usuarios a sitios sospechosos o de riesgo.
• Realización periódica de análisis de vulnerabilidades y pruebas de penetración de toda la infraestructura de red y corrección de cualquier vulnerabilidad descubierta lo antes posible.
• Instale y configure productos de seguridad para puntos finales que analicen los documentos cifrados inmediatamente después de descifrarlos.
• Instalar y mantener totalmente actualizados los dispositivos de seguridad de detección y prevención de intrusiones (IDS/IPS) para detectar comportamientos anómalos en la red.