Site icon Sophos News

La Amenaza fantasma: Brute Ratel sigue siendo raro y selectivo

El año pasado, informamos del creciente uso de la herramienta comercial de seguridad ofensiva Brute Ratel por parte de cibercriminales, incluidos los responsables de los incidentes del ransomware Black Cat. Tras la exposición pública de una versión de la herramienta, a muchos les preocupaba que Brute Ratel se convirtiera en la sucesora de Cobalt Strike, la herramienta de seguridad ofensiva de la que se ha abusado durante mucho tiempo y que ha sido la preferida para las necesidades de movimiento lateral de los ciberdelincuentes.

Comercializado como “el software más avanzado de simulación de equipos rojos y adversarios”, Brute Ratel consta de un agente de acceso remoto (un “Badger”), un servidor y un software de interfaz de usuario “Commander”. De forma similar a las “balizas” de Cobalt Strike, las instancias Badger pueden comunicarse entre sí y con el C2, proporcionando un canal de comunicación encubierto desde el punto inicial de compromiso en una brecha hasta otros sistemas con instancias Badger ejecutándose en ellos dentro de una red objetivo. Las comunicaciones de Badger a Badger pueden realizarse a través de TCP y del protocolo de intercambio de archivos SMB; las comunicaciones de vuelta al servidor C2 se realizan a través de protocolos web (HTTP y HTTPS), y DNS sobre HTTPS (DOH).

A pesar de la insistencia del desarrollador en que Brute Ratel no podía piratearse ni abusarse como Cobalt Strike, el conjunto de herramientas se vio comprometido en 2022. Durante el verano de 2022, el uso de Brute Ratel hizo temer que pronto sustituyera a Cobalt Strike en las cajas de herramientas de los ciberdelincuentes.

Esos temores no se hicieron realidad. En septiembre de 2022, un usuario de Ucrania subió a Virus Total una copia completa de la versión 1.2.2 de Brute Ratel (nombre en clave “Scandinavian Defense”), poniéndola a disposición de los investigadores para su análisis. Incluso entonces, rara vez se encontró; en un examen de los datos de detección de Sophos de septiembre de 2022 a marzo de 2023, encontramos menos de 20 detecciones únicas de Brute Ratel en la telemetría de clientes, excluyendo simulaciones de amenazas y otras pruebas de seguridad. El equipo de respuesta a incidentes de Sophos se ocupó solo de dos casos en 2022 en los que Brute Ratel desempeñó un papel.

En un examen de muestras generalmente asociadas con ataques de Brute Ratel, encontré un pequeño número de casos en los que las amenazas que más tarde se identificaron como relacionadas con Brute Ratel se bloquearon basándose en el comportamiento o en el análisis de archivos como malware genérico. Basándome en un análisis de la telemetría, estos casos estaban asociados a simulaciones de ataques y pruebas de los equipos de seguridad, y no a ataques reales. La detección más reciente de un intento real de uso de Brute Ratel se produjo en enero.

Por otra parte, la herramienta de seguridad ofensiva Cobalt Strike, filtrada hace tiempo y de ingeniería inversa, parece haber ganado aún más adopción, y sigue siendo un factor común en muchos incidentes, incluidos los ataques de ransomware. En el mismo periodo se detectaron miles de casos de Cobalt Strike.

Esto, no quiere decir que los actores de amenazas no hayan utilizado Brute Ratel en absoluto, sino que los casos en los que se ha visto han sido atacantes con buenos recursos dirigidos a organizaciones específicas. El gobierno polaco identificó una campaña de ciberespionaje, supuestamente relacionada con los servicios de inteligencia rusos, que utilizó una combinación de Brute Ratel y Cobalt Strike en al menos un caso. (Sophos ha actualizado las detecciones de Brute Ratel basándose en este incidente.) Sin embargo, ha habido pocos casos recientes más y ninguno relacionado con organizaciones cibercriminales más pequeñas.

Lo que el mercado demanda

Brute Ratel, al igual que Cobalt Strike, es una herramienta de post-explotación: para poder hacer algo con ella, el usuario tiene que haber obtenido el acceso inicial. Ese acceso puede proporcionarse de varias formas, incluidos archivos adjuntos a correos electrónicos que instalan una carga útil de ataque cuando se abren o vulnerabilidades existentes en un servidor expuesto a Internet. Pero una vez conseguido, Brute Ratel proporciona un conjunto bien documentado y pulido de herramientas para ir más allá de ese punto de aterrizaje inicial (aunque algunos usuarios en foros clandestinos utilizaron un lenguaje colorido al quejarse de su interfaz de usuario).

Brute Ratel se ha comercializado con la afirmación de que es capaz de eludir las plataformas de detección y respuesta mejoradas (EDR). Hace seis meses, el desarrollador de Brute Ratel, Chetan Nayak, afirmó que su agente “Badger” no había sido detectado por ningún software antivirus. Así que, naturalmente, ha habido cierto interés en Brute Ratel por parte del mundo criminal.

Varias versiones de Brute Ratel han llegado a los mercados delictivos a pesar de las actualizaciones del desarrollador que supuestamente evitan el abuso de la licencia, incluidos algunos vendedores que lo ofrecen como servicio. Los precios oscilan entre los 4.000 $ por el paquete completo de una versión reciente (1.000 $ más que el precio del desarrollador) y los 2.250 $ anuales como servicio (más una cuota de instalación del servidor C2 de 500 $).

En comparación, hay muchas versiones filtradas de Cobalt Strike disponibles gratuitamente tanto en la web oscura como en sitios públicos (aunque algunas de las publicaciones más públicas han sido retiradas como resultado de solicitudes de retirada de la Ley de Derechos de Autor del Milenio Digital). El código de la versión 4.7 ha estado disponible desde el otoño de 2022 a través de sitios de intercambio de archivos; las versiones posteriores también están a la venta por distintos precios, incluidas las ofertas como servicio a partir de 5.000 $. Pero las versiones crackeadas de los componentes de Cobalt Strike están ampliamente disponibles, por lo que es probable que solo los actores de amenazas con menos experiencia paguen a alguien por ello.

Figura 1: Cobalt Strike a la venta en un foro clandestino

Esta es probablemente la razón por la que vemos tantas detecciones de Cobalt Strike en nuestra telemetría. Cobalt representó alrededor del 20% de las detecciones de herramientas de ataque basadas en firmas en la telemetría de Sophos en el primer trimestre de 2023. Hubo cientos de incidentes reales relacionados con Cobalt Strike (descontando simulaciones y cargas de analistas) durante ese periodo. En comparación, solo hubo una detección de este tipo de Brute Ratel durante el mismo periodo.

Aun así, Cobalt Strike no es el marco de seguridad ofensivo post acceso más utilizado por los atacantes. Existen otras herramientas de post-explotación de código abierto y con soporte comercial, algunas de las cuales se han posicionado ocasionalmente como sustitutas de Cobalt Strike. Las más frecuentes son dos conocidos conjuntos de herramientas de código abierto, PowerSploit y Empire, que suelen requerir el uso de alguna otra herramienta de mando y control (o un shell remoto sobre RDP u otra herramienta de acceso remoto).

Y luego está Metasploit, utilizable tanto para la explotación de vulnerabilidades como para operaciones posteriores a la explotación a través de agentes “Meterpreter” (incluidas versiones personalizadas que se han construido a partir de su código fuente abierto). Las detecciones de Meterpreter, incluidos los agentes maliciosos construidos utilizando los protocolos de comando y control de Meterpreter, fueron mucho más frecuentes tanto en las detecciones basadas en firmas como en las basadas en comportamientos durante los últimos seis meses, como se muestra en los gráficos siguientes. También se ha visto (pero con mucha menos frecuencia) Sliver, otro marco de “emulación de adversarios” de código abierto. Las detecciones de archivos de Sliver se han acercado a las de Cobalt Strike en frecuencia, y a veces las han superado, como ha ocurrido en los dos últimos meses.

Figura 2: las detecciones de archivos Brute Ratel se dispararon en otoño de 2022, y desde entonces han estado prácticamente ausentes, con algunos valores atípicos que parecen estar relacionados con pruebas o simulación de ataques.
Figura 3: casi todas las detecciones de comportamiento de Brute Ratel se limitaron a un único incidente en enero. Las detecciones de abril parecen estar vinculadas a pruebas de binarios descargados de blogs de investigación de amenazas.

Las detecciones de comportamiento de Brute Ratel también fueron extremadamente raras. La mayoría de las detecciones basadas en firmas que vimos estaban probablemente relacionadas con muestras descargadas para su análisis o con algunos intentos de distribuir cargas útiles por correo electrónico. Y el grupo más significativo de comportamiento real relacionado con el mando y control (C2) que vimos relacionado con Brute Ratel provino de un único incidente en enero, en el que se utilizó un script no visto anteriormente para inyectar una baliza “Badger”.

El despertar de Brute Ratel

El 1 de enero, un servidor Windows de un proveedor de servicios gestionados ejecutó un archivo de script extraído de un archivo .zip:

\\Temp1_Julie Ramzel_1040_1120s 2019-2021.zip\\passwords_Julie Ramzel_1040_1120s 2019-2021.js\”

También se detectó un archivo con el mismo nombre como parte de un lanzamiento de Brute Ratel bloqueado en otra organización en la misma fecha, y otros investigadores de amenazas también lo han encontrado en el mismo marco temporal, lo que indica que formaba parte de una campaña de un ciberdelincuente concreto. El mismo archivo, con el mismo nombre, fue subido a Virus Total el 10 de enero por dos partes no relacionadas.

Además del archivo de script, el archivo .zip contenía un PDF; estaba cifrado y no pudimos analizar su contenido. Pero el propio script estaba altamente ofuscado JS que inyectaba el código del implante “Badger” en notepad.exe.

Una vez inyectado, el agente realizó una conexión HTTPS POST a dos URI, enviando datos codificados:

La comunicación se detectó como una llamada a casa de Brute Ratel y se bloqueó mediante una regla de comportamiento. Pero el script siguió ejecutándose, y reintentó las conexiones repetidamente mientras era bloqueado continuamente. Sophos informó del comportamiento al MSP, y el problema fue resuelto por el equipo de seguridad del MSP. El .zip que entregaba el script de inyección y el propio script JavaScript ofuscado están ahora bloqueados por reglas de archivo, así como por comportamiento.

El mismo día, hubo un intento de ataque similar bloqueado por reglas de comportamiento para Brute Ratel que intentaba comunicarse con el mismo servidor C2 en Alemania. La única otra detección de comportamiento en los últimos seis meses se produjo en noviembre, y parecía tratarse de alguien que experimentaba con el malware en un sistema doméstico.

¿Por qué tan escaso?

Hay múltiples factores probables que contribuyen a la brecha entre las detecciones y los incidentes de Cobalt Strike y Brute Ratel. En primer lugar, debido a los métodos de despliegue favorecidos por Brute Ratel, muchos ataques que podrían basarse en Brute Ratel se detectan basándose en el comportamiento genérico del malware mediante scripts y shellcode. Eso significa que nunca llegamos a ver las firmas y comportamientos relacionados con los agentes de Brute Ratel.

Es probable que otros factores estén relacionados con el éxito continuado que tienen los atacantes utilizando las versiones crackeadas y de ingeniería inversa de Cobalt Strike, ampliamente disponibles, la distribución limitada de herramientas Brute Ratel obtenidas fraudulentamente y el deseo de los actores de amenazas de limitar el uso de Brute Ratel a ataques selectivos en los que otras herramientas (incluida Cobalt Strike) habían fracasado.

Incluso entre actores de ransomware con buenos recursos, el uso de Brute Ratel se ha vuelto raro. Hay varias razones posibles para ello:

Aunque esto significa que Brute Ratel no es la amenaza generalizada que se temía que fuera, no significa que la herramienta no se utilice o que los defensores deban ser complacientes con su uso.

Sophos detecta las amenazas relacionadas con Brute Ratel mediante firma (ATK/Brutel) y mediante detección de comportamiento y memoria. Seguimos vigilando su uso y trabajamos para defendernos de los despliegues legítimos y maliciosos de la herramienta para defender mejor las redes. Los indicadores de compromiso relacionados con los casos que hemos mencionado en este post se pueden encontrar en la página de Github de SophosLabs.

Exit mobile version