Análisis de malware

Malware Kwampirs: qué es, cómo funciona y cómo prevenirlo | Destacado malware

13 de mayo de por Greg Belding

Introducción

Los compromisos de la cadena de suministro se han vuelto más preocupantes últimamente, con la aparición de COVID-19 afectando a muchas industrias, especialmente la atención médica. Los grupos de ataque se están aprovechando de esta vulnerabilidad de la sociedad moderna al atacar la cadena de suministro de las empresas de ICS, la atención médica, la TI y otras industrias de infraestructura crítica.

Se ha observado que uno de esos programas maliciosos, conocido como Kwampirs, compromete la cadena de suministro durante esta época de crisis. El FBI ha tomado tan en serio a Kwampirs que ha emitido múltiples alertas advirtiendo a las industrias afectadas sobre su riesgo. Este artículo detallará Kwampirs y explorará qué es, cómo funciona y cómo evitar que Kwampirs afecte a su organización.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

¿Qué es Kwampirs?

Descubierto por primera vez en, Kwampirs es un troyano de acceso remoto, o RAT, que apunta a empresas de la cadena de suministro que suministran una variedad de industrias de infraestructura crítica, desde empresas de atención médica, energía y TI hasta empresas que ejecutan ICS. También conocida como Orangeworm (tanto el malware en sí como su grupo de ataque), esta amenaza persistente avanzada modular se utiliza para ingresar a las redes de las víctimas con el fin de acceder a las empresas de la cadena de suministro. Cabe señalar que se ha informado que las empresas financieras y los despachos de abogados líderes son objetivos secundarios de esta RAT.

En enero, febrero y marzo de, la Oficina Federal de Investigaciones emitió alertas advirtiendo al sector privado sobre ciberataques a la cadena de suministro. Si bien no se mencionó por nombre ninguna compañía o firma específica, el FBI ha dejado en claro que los piratas informáticos han estado utilizando Kwampirs para obtener acceso a los proveedores, socios y clientes de estas industrias críticas. Estas alertas del FBI sugieren que los grupos de ataque están empezando a centrarse más en organizaciones que trabajan con transmisión y distribución de energía.

De los muchos hallazgos que proyectaron estas alertas, el FBI publicó los Indicadores de compromiso (IOC) y las reglas YARA para que las organizaciones detecten mejor el malware Kwampirs. Puede consultar los COI de Kwampirs aquí y las reglas de YARA aquí .

Otro hallazgo interesante fue el hecho de que Kwampirs tiene varias similitudes basadas en código con el malware modular Shamoon (también conocido como Disstrack). Cabe señalar que todavía no se ha descubierto un componente destructivo o limpiador en los Kwampirs, en comparación con la capacidad destructiva de Shamoon, por lo que esta similitud debe tomarse con más de un grano de sal.

Como se mencionó anteriormente, se sabe que Kwampirs se dirige a la industria de la salud y a las numerosas empresas que participan en su cadena de suministro. Tiene afinidad por el software de instalación para el control y uso de dispositivos de imágenes, incluidas máquinas de resonancia magnética y rayos X y otros dispositivos de imágenes de tipo fotocopiadora que toman información sensible del paciente o del cliente.

Las entidades sanitarias suelen trabajar con información confidencial de los pacientes, incluidos los datos de tarjetas de pago (PII). Al momento de escribir este artículo, Kwampirs no ha apuntado a esta información durante sus campañas de ataque.

¿Como funciona?

Kwampirs tiene varias formas de infectar inicialmente una red empresarial. Entre los observados se encuentran los correos electrónicos de phishing que contienen enlaces maliciosos y los mensajes SMB que contienen enlaces maliciosos.

Después de la infección inicial, se ha observado que Kwampirs utiliza múltiples vectores de intrusión para propagarse a través de las redes y hacer que la infección sea lo más amplia posible. Estos vectores de intrusión se producen cuando los proveedores de la cadena de suministro de software instalan dispositivos infectados con Kwampirs en la red de la organización y la infraestructura de la nube durante tiempos de codesarrollo que pasan a través de recursos compartidos de Internet y movimiento lateral entre las redes de una organización durante tiempos de fusiones y adquisiciones. .

El FBI ha observado que las campañas de Kwampir utilizan un enfoque de dos fases para sus ataques. La primera fase es la entrega y ejecución de cargas útiles maliciosas secundarias. En la segunda fase, Kwampirs entrega cargas útiles maliciosas adicionales y componentes de Kwampirs para promover la explotación de hosts infectados.

El grupo APT detrás de Kwampirs ha mantenido con éxito una presencia persistente en las redes infectadas entre tres y 36 meses. Durante este tiempo, se implementa un módulo Kwampirs secundario, que permite un reconocimiento detallado continuo de las redes infectadas.

Lo más desagradable de Kwampirs hoy en día es el impacto devastador de un módulo adicional de Kwampirs (ransomware, por ejemplo) lanzado sobre un proveedor de atención médica en primera línea con una infección de Kwampirs no descubierta. El coste tanto en vidas humanas como en dinero podría ser astronómico.

Cómo prevenir los Kwampirs

Se sabe que los Kwampirs tienen un enfoque agresivo para la propagación una vez dentro de una red y, a menudo, se pueden encontrar en dispositivos de imágenes. Esto no significa que el enfoque correcto deba ser detectarlo en estos dispositivos. Más bien, la prevención comienza con la proverbial fruta que está al alcance de la mano. Esto significa que los equipos de ciberseguridad de la organización deben centrarse en los puntos finales habituales, que serían el punto de infección inicial, porque la infección se gestionará cuando sea más pequeña.

El FBI ha enviado algunas recomendaciones para la prevención de Kwampirs, que incluyen:

• Implementación de una política de privilegios mínimos en servidores web.
• Uso de una zona desmilitarizada (DMZ) entre la red de la organización y los sistemas conectados a Internet
• No utilizar credenciales de inicio de sesión predeterminadas configuradas de fábrica
• Bloquear el acceso a los paneles de administración para conexiones externas

Conclusión

Si bien no es una amenaza nueva, el malware Kwampirs ha experimentado un aumento en su actividad recientemente y esto puede estar relacionado con la crisis de COVID-19. Después de la infección inicial, se propaga agresivamente por las redes afectadas y la infección dura hasta 36 meses.

Es probable que los kwampirs no desaparezcan pronto y aún no conocemos el alcance total de los trastornos y la destrucción que causarán. Pero con las recientes alertas y consejos del FBI, podemos prevenir y mitigar las infecciones por Kwampirs y ayudar a mantener seguras las industrias críticas.

Fuentes

1. El FBI advierte sobre ataques de malware ‘Kwampirs’ a la cadena de suministro , BankInfoSecurity
2. El FBI advierte a los proveedores de software del sector de suministro que tengan cuidado con el malware Kwampirs , SecurityIntelligence
3. El FBI vuelve a alertar sobre los ciberataques a la cadena de suministro de malware Kwampirs y seguridad informática sanitaria
4. Los piratas informáticos atacan a las empresas de la cadena de suministro con el malware “Kwampirs” , CISO Mag