Malware TrickBot

¿Qué es TrickBot?

TrickBot hace honor a su nombre y es una de las principales amenazas, según la Agencia de Infraestructura y Seguridad Cibernéticas (CISA). TrickBot surgió en 2016 como un sofisticado troyano bancario escrito en C++ dirigido a sistemas basados en Windows. Su auge se atribuye a un infame grupo de ciberdelincuentes rusos conocido como WizardSpider, presuntamente vinculado al gobierno ruso.

TrickBot ha evolucionado hasta convertirse en una arquitectura de malware modular capaz de realizar ataques que lo sitúan en múltiples categorías, como troyano de acceso inicial, stealer/spyware, troyano de acceso remoto (RAT) y ransomware. TrickBot incluye un robusto conjunto de capacidades de segunda etapa post-infección para la penetración en la red que le permiten moverse lateralmente de forma sigilosa incluso a través de redes corporativas bien defendidas.

Debido a su amplio arsenal de capacidades, TrickBot funciona como un arma similar a un cuchillo suizo en ciberataques contra grandes corporaciones, agencias gubernamentales e instalaciones sanitarias; es el malware de comando y control (C2) elegido para desplegar los ransomware Ryuk y Conti. Sin embargo, TrickBot también se ha utilizado para comprometer los routers domésticos de consumidores comunes, lo que ha permitido a grupos de actores de amenazas crear redes de bots globales. Las diversas y sofisticadas capacidades de TrickBot no tienen parangón con las de ningún otro malware.

Últimas noticias sobre TrickBot

Cómo funciona TrickBot

TrickBot se distribuye normalmente a través de un malware descargador de primera fase que emplea tácticas de ingeniería social como el spear-phishing y las descargas automáticas -engañando a las víctimas con copias pirateadas de software popular- para obtener el acceso inicial a un sistema. El malware de primera etapa de TrickBot suele ejecutar un archivo JavaScript muy ofuscado que completa la infección conectándose a un servidor C2 controlado por el atacante, descargando la carga útil principal de TrickBot y ejecutándola. 

TrickBot puede infectar los navegadores de Internet para vigilar pasivamente la actividad del usuario y robar cookies de sesión, nombres de usuario y contraseñas, y el historial de navegación. TrickBot también tiene herramientas integradas para la enumeración de la red y el descubrimiento de hosts, la escalada de privilegios, la fuerza bruta de autenticación, el reconocimiento del hombre en el medio, el proxy, la manipulación de datos, el movimiento lateral, la persistencia y el despliegue de ransomware. Durante sus operaciones, TrickBot intercambia estratégicamente servidores C2 y mantiene una caché de direcciones IP C2 activas en caso de que uno de ellos sea eliminado o incluido en una lista de bloqueo. 

Las tácticas de ocultación de TrickBot incluyen el uso de conexiones cifradas HTTP a través de SSL/TLS para enmascarar su actividad C2 como tráfico web normal y el empleo de técnicas de malware sin archivos, operando únicamente en memoria (memexec) para evitar ser descubierto por los productos de seguridad. Para evitar que los investigadores de seguridad analicen fácilmente su código fuente, TrickBot utiliza una ofuscación basada en cifrado de varias etapas.

Señales de un ataque TrickBot

Los usuarios finales no notarán ningún signo evidente de una infección por TrickBot a menos que ya haya desplegado ransomware para hacer ilegibles los archivos. Sin embargo, la monitorización de la actividad de la red revelará solicitudes salientes a IP y dominios bloqueados cuando TrickBot intente conectarse a sus servidores C2 o redirigir a los usuarios de Internet a sitios web maliciosos. 

Dado que las técnicas de TrickBot son avanzadas y están en constante evolución, la forma más fiable de detectar un ataque es instalar y configurar correctamente herramientas de seguridad avanzadas, como productos de detección y respuesta para puntos finales (EDR), detección y respuesta ampliadas (XDR) y detección y prevención de intrusiones en la red (NIDS/NIPS)

Cómo prevenir un ataque TrickBot

Para prevenir eficazmente un ciberataque de TrickBot se requiere un programa completo de ciberseguridad empresarial, que incluya un alcance completo de políticas, controles, procedimientos y formación de concienciación de los usuarios para cubrir todos los aspectos de la ciberseguridad de una organización. A continuación se ofrece una breve lista de medidas defensivas que pueden reducir las posibilidades de que se produzca un ataque de TrickBot. 

  • Implantar herramientas modernas de gestión de identidades y accesos (IAM)
  • Instalar y configurar productos avanzados de seguridad de puntos finales en todos los puntos finales para detectar indicadores de peligro (IOC) y tomar medidas defensivas para bloquear la ejecución de las cargas útiles de TrickBot.
  • Asegúrese de que sólo se instala software autorizado y firmado digitalmente en todos los terminales; analice periódicamente y bloquee la ejecución de cualquier software no autorizado.
  • Realización periódica de análisis de vulnerabilidades y pruebas de penetración de toda la infraestructura de red; corrección de cualquier vulnerabilidad descubierta lo antes posible.
  • Utilice un proxy de contenidos para supervisar el uso de Internet y evitar que los usuarios accedan a sitios sospechosos o de riesgo.
  • Imponga la autenticación multifactor para todos los servicios críticos
  • Considere la posibilidad de impartir formación de concienciación a los usuarios para educar al personal sobre las técnicas de phishing y desarrolle procedimientos operativos estándar (SOP) para el tratamiento de correos electrónicos y documentos sospechosos.
  • Configurar los clientes de correo electrónico para que notifiquen a los usuarios cuando los mensajes procedan de fuera de la organización.
  • Asegúrese de que las aplicaciones de Office están configuradas con Desactivar todas las macros sin notificación o Desactivar todas las macros excepto las firmadas digitalmente configuración
  • Preste especial atención a las notificaciones de advertencia de los clientes de correo electrónico y las aplicaciones de Office que pueden alertarle de contextos sospechosos, como archivos que no han sido analizados en busca de malware o que contienen macros VBA.

CylanceGUARD para la protección contra malware

Como servicio XDR gestionado 24x7x365 basado en suscripciones y centrado en el ser humano, CylanceGUARD® ofrece a las empresas la experiencia y el apoyo que necesitan para prevenir y protegerse contra los ataques de ransomware. CylanceGUARD combina la experiencia integral de BlackBerry Cybersecurity Services con Endpoint Protection (EPP) basado en IA a través de CylancePROTECT®, autenticación continua y análisis a través de CylancePERSONA, y detección y corrección de amenazas en el dispositivo a través de CylanceOPTICS®. En resumen, CylanceGUARD proporciona a las empresas las personas y la tecnología necesarias para proteger a la empresa del panorama moderno de amenazas.
SABER MÁS

Recursos relacionados:

Icono de recursos Prevención de pérdida de datos (DLP) Icono de recursos Seguridad de puntos finales Icono de recursos Plataformas de protección de puntos finales (EPP) Icono de recursos Detección y respuesta a puntos finales (EDR) Icono de recursos Detección y respuesta ampliadas (XDR) Icono de recursos Gestión de identidades y accesos (IAM) Icono de recursos Detección y respuesta gestionadas Icono de recursos XDR gestionado Icono de recursos Marco ATT&CK de MITRE Icono de recursos Defensa frente a amenazas móviles (MTD) Icono de recursos Análisis del comportamiento de usuarios y entidades (UEBA) Icono de recursos Arquitectura de confianza cero Icono de recursos Acceso a la red de confianza cero (ZTNA) Icono de recursos Seguridad de confianza cero Icono de recursos Gestión de eventos e información de seguridad (SIEM) Icono de recursos Servicio de Acceso Seguro Edge (SASE)
Más recursos