Brute ratel C4 el próximo (o ya lo es) gran dolor de cabeza para los CISOs

En mayo del año pasado analistas de ciberseguridad detectaron una carga maliciosa que no fue detectada por 56 antivirus que la habían evaluado previamente, esta fue la primera aparición oficial de BRc4 (Brute Ratel C4)

Tras una investigación, especialistas detectaron esta nueva amenaza en importantes organizaciones de distintos países. Además, lograron asociar la amenaza con el grupo “Cozy Bear”, también conocidos como APT-29 un peligroso grupo de piratas expertos en informática.

¿Pero qué es Brute ratel C4 exactamente?

“BRc4” en realidad es una herramienta legítima desarrollada por Chetan Nayak, un ex ingeniero especializado en detección de amenazas de ciberseguridad y red teamer, pensada para ser utilizada en pruebas de penetración. Está diseñada para evadir las herramientas de detección y respuesta (EDR) y antivirus (AV) a propósito y el lanzamiento oficial de la versión 1.0 fue en mayo, pero resultó ser una peligrosa arma en manos de los delincuentes.

El problema es que una versión fue filtrada junto a un kit de herramientas de post-exploración de BRc4 y fue hackeado presuntamente por el grupo “Molecules”. Esta versión se está compartiendo entre las comunidades de hackers de Rusia y Reino Unido, al haberse removido la verificación de licencia Chetan Nayak,  perdió la visibilidad y control de quien o para qué se usa la herramienta.

En malas manos, esta herramienta podría ser muy potente, ya se están compartiendo capturas de pantallas en foros de hackers probando el kit.

Brute Ratel tiene la capacidad de genera código Shell que no es fácil de detectar por software de seguridad, lo que está siendo aprovechado por los ciberdelincuentes, esta herramienta con evasión de detección puede establecer acceso a la información de compañías con suficiente tiempo para hacer movimiento lateral sin ser detectada así tener presencia en varios puntos de la red.

Unit 42 de Palo Alto Networks ya ha proporcionado un análisis técnico de BRc4 que puedes consultar aquí.

Es importante que las empresas y organizaciones reconozcan la amenaza inminente que representa esta herramienta ya que sus capacidades seguramente van a ser explotadas.

Recomendación.

Actualmente para defenderte de BRc4 se recomienda utilizar oportunidades de detección basadas en comportamiento tales como Threat Prevention, Cortex XDR y WildFire de Palo Alto Networks.

Threat Prevention brinda protección contra Brute Ratel C4. La firma “Detecciones de tráfico de comando y control de la herramienta Brute Ratel C4” es el ID de amenaza 86647.

Cortex XDR detecta y protege endpoints desde la herramienta Brute Ratel C4.

El servicio de análisis de amenazas basado en la nube de WildFire identifica con precisión las muestras de Brute Ratel C4 como malware.

Te invitamos a seguir las redes sociales de Nova InstagramFacebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Un ataque de ransomware cierra plantas mineras

ransomware en mineras

La Corporación Minera Copper Mountain (CMMC) de Canadá fue atacada por un ransomware el 27 de diciembre de 2022.

En respuesta a este incidente, la empresa implementó rápidamente sistemas y protocolos de gestión de riesgos. Además, la empresa está cerrando plantas de forma activa para evaluar el impacto en sus sistemas de control, aislando operaciones y pasando a procedimientos manuales cuando sea posible.

La CMMC de 18,000 acres, que es propiedad parcial de Mitsubishi Materials, produce un promedio de 100 millones de libras de cobre por año y se estima que tiene más de 32 años de reservas minerales. “Los equipos de TI internos y externos de la empresa continúan evaluando los riesgos e implementando medidas de seguridad adicionales para mitigar cualquier riesgo adicional para la empresa”, dijo Copper Mountain Mining Corp en un nuevo comunicado.

Alcance del ataque

Según el consejo de CMMC, la brecha de seguridad cibernética no comprometió las medidas de seguridad de ninguna manera y no puso en peligro el medio ambiente. “No hubo incidentes de seguridad o ambientales como resultado del ataque. La principal prioridad de la compañía sigue siendo garantizar operaciones seguras y limitar el impacto operativo y financiero”, dijo la compañía.

Reanudar el negocio lo antes posible puede ayudar a las organizaciones a minimizar el impacto financiero de un incidente. “Copper Mountain está investigando el origen del ataque y se está comunicando con las autoridades correspondientes para ayudar a la empresa” – Copper Mountain Mining Corporation of Canada

El 13 de diciembre de 2022, un ciberdelincuente publicó la información de la cuenta de un empleado de CMMC en el mercado de piratas informáticos. Dada la fecha reciente entre la oferta de venta de las credenciales y el informe del ataque de ransomware, es probable que los piratas informáticos hayan utilizado las cuentas comprometidas para obtener acceso a la red de la empresa.

Los hallazgos de la empresa de seguridad Dragos revelaron que 86 ataques se dirigieron específicamente a los sistemas de las organizaciones de fabricación, en particular las relacionadas con los productos metálicos y la industria automotriz. Dragos señaló que solo la pandilla de ransomware LockBit apuntó a las industrias de tratamiento de agua y minería. Según la empresa alemana Aurubis, “esto es claramente parte de un ataque mayor a la industria de los metales y la minería”.

Recomendación: soluciones para evitar ransomware

Las siguientes soluciones están disponibles en el portafolio de Nova:

Apex One

Una solución de seguridad de Trend Micro. Es una solución que ofrece una amplia gama de funcionalidades de seguridad, como protección de amenazas en tiempo real, prevención de intrusiones, parcheo virtual, detección de comportamientos sospechosos y protección contra ransomware. Apex One se puede utilizar tanto en endpoints como en servidores y se puede integrar con otras soluciones de seguridad de Trend Micro y con sistemas de gestión de seguridad de terceros.

Una característica destacable es su adaptabilidad constante, aprendiendo y compartiendo de forma automática información sobre amenazas en su entorno.

Email Security

Solución de Trend Micro diseñada para proteger tu organización de amenazas a través de correo electrónico, ayuda a evitar spam, phishing, correos sospechosos, virus y otros tipos de malware que se distribuyen a través de correo electrónico, además nos ayuda a proteger la información confidencial de nuestra organización.

Te invitamos a seguir las redes sociales de Nova InstagramFacebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.