TrickGate lleva seis años en la sombra siendo utilizado para el despliegue de Emotet, REvil, Maze y otros malware

• Check Point Research descubrió un servicio de software que lleva más de un lustro ayudando a los ciberatacantes a eludir la protección de los EDRs.

• Entre los clientes de este servicio, denominado TrickGate, se encuentran Emotet, REvil, Maze y otros.

DESCARGAR GACETILLA EN FORMATO WORD + IMÁGENES

Check Point Research (CPR), la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, descubrió un servicio de software que lleva más de seis años ayudando a los ciberdelincuentes a eludir la protección de los EDR (Detección y respuesta de Endpoints). Bautizado como «TrickGate», entre sus clientes se encuentran atacantes tan conocidos como Cerber, Trickbot, Maze, Emotet, REvil, Cobalt Strike, AZORult, Formbook, AgentTesla y muchos más.

La capacidad de transformación de TrickGate le permitió permanecer bajo el radar durante años. Aunque el envoltorio se modificó, los principales componentes de su shellcode siguen utilizando como herramienta de ciberataque que permite para propagar su malware más fácilmente.

Figura 1. Timeline de TrickGate

Perfil de las víctimas

Check Point Research ha monitorizado entre 40 y 650 ataques semanales durante los dos últimos años. Según su telemetría, los ciberdelincuentes que utilizan TrickGate se dirigen principalmente al sector manufacturero, pero también apuntan a otros sectores como la educación, la sanidad, las finanzas y las empresas comerciales. 

Los ataques se distribuyen por todo el mundo, con una mayor concentración en Taiwán y Turquía. La familia de malware más utilizada en los dos últimos meses es Formbook, que representa el 42% de la distribución total rastreada.

Flujo de los ataques

Si bien se detectaron diversas formas en el flujo de los ataques, el shellcode de TrickGate se encarga de descifrar las instrucciones y el código dañino e inyectarlos sigilosamente en nuevos procesos.

El programa malicioso se cifra y luego se empaqueta con una rutina diseñada para eludir el sistema, de modo que muchas soluciones de seguridad no pueden detectar la carga útil de forma estática ni en tiempo de ejecución.

Figura 2. Flujo de ataque de TrickGate

Atribución y autoría de los ataques

Por el momento los investigadores no consiguieron atribuir una afiliación clara para estos ataques, aunque supone, basándose en los clientes a los que dieron servicio, que se trata de una banda clandestina de habla rusa.

“TrickGate es un maestro del disfraz. Se le han dado muchos nombres basados en sus atributos, incluyendo, «Emotet’s packer», «New loader», «Loncom» o «NSIS-based crypter», entre otros. Ahora, hemos unido las conclusiones de investigaciones anteriores y podemos apuntar a un único agente que parece ofrecerse como servicio”, asegura Ziv Huyan, Malware Research and Protection Group Manager at Check Point Software. “El hecho de que TrickGate sea la herramienta que han elegido muchos de los mayores ciberdelincuentes para burlar los sistemas defensivos es muy relevante. Cuenta con técnicas increíbles de enmascaramiento y evasión. Desde Check Point Research continuamos supervisando los movimientos de TrickGate utilizando diferentes tipos de lenguaje de código y de archivos, pero el flujo central permanece relativamente estable. Las mismas técnicas utilizadas hace seis años siguen en uso hoy en día”.

---

 

Acerca de Check Point Research

Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo de investigación recopila y analiza datos de ciberataques globales almacenados en ThreatCloud para mantener los ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas 

Acerca de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. es un proveedor líder de soluciones de ciberseguridad para empresas y gobiernos de todo el mundo.  La cartera de soluciones de Check Point Infinity protege a las empresas y organizaciones públicas de los ciberataques de 5ª generación con una tasa de captura líder en la industria de malware, ransomware y otras amenazas. Infinity se compone de cuatro pilares fundamentales que ofrecen una seguridad sin compromisos y una prevención de amenazas de quinta generación en todos los entornos empresariales: Check Point Harmony, para usuarios remotos; Check Point CloudGuard, para proteger automáticamente los entornos cloud; y Check Point Quantum, para proteger los perímetros de la red y los centros de datos, todo ello controlado por la gestión de seguridad unificada más completa e intuitiva de la industria; Check Point Horizon, una suite de operaciones de seguridad que da prioridad a la prevención. Check Point Software protege a más de 100.000 organizaciones de todos los tamaños.

 

©2022 Check Point Software Technologies Ltd. Todos los derechos reservados.