Un peligroso conjunto de herramientas posteriores a la explotación, que se utilizó por primera vez con fines de seguridad cibernética, ahora se ha descifrado y filtrado a las comunidades de piratas informáticos.
El conjunto de herramientas se comparte en muchos sitios web diferentes, y las repercusiones potenciales podrían ser enormes ahora que puede caer en manos de varios actores de amenazas.
Esto podría ser malo. El kit de herramientas posterior a la explotación en cuestión, llamado Brute Ratel C4, fue creado inicialmente por Chetan Nayak. Nayak es un ex miembro del equipo rojo, lo que significa que su trabajo incluía intentar violar los valores de una red determinada, que estaba siendo defendida activamente por los miembros del equipo azul. Luego, ambos equipos discuten cómo les fue y si hay algunas fallas de seguridad para mejorar.
Brute Ratel fue creado exactamente para ese propósito. Fue creado para que lo usaran los «equipos rojos», con el objetivo final de poder ejecutar comandos de forma remota en una red comprometida. Esto le otorgaría al atacante acceso al resto de la red de una manera más fácil.
Cobalt Strike se considera una herramienta similar a Brute Ratel, y las pandillas de ransomware han abusado mucho de esa herramienta, por lo que es bastante fácil de detectar. Brute Ratel no se ha extendido tanto hasta ahora, y tiene un sistema de verificación de licencias que en su mayoría mantuvo a raya a los piratas informáticos. Nayak puede revocar la licencia de cualquier empresa que sea falsa o haga un mal uso de la herramienta.
Desafortunadamente, eso ahora es cosa del pasado, porque una versión descifrada de la herramienta comenzó a circular. Primero se subió a VirusTotal en su estado no descifrado, pero un grupo ruso llamado Molecules pudo descifrarlo y eliminar por completo el requisito de licencia. Esto significa que ahora, cualquier hacker potencial puede tenerlo en sus manos si sabe dónde buscar.
Will Thomas, un investigador de inteligencia de amenazas cibernéticas, publicó un informe sobre la versión descifrada de la herramienta. Ya se ha extendido a muchas comunidades de habla inglesa y rusa, incluidas CryptBB, RAMP, BreachForums, Exploit[.]en, Xss[.]es, y los grupos de Telegram y Discord.
“Ahora hay varias publicaciones en varios de los foros de delitos cibernéticos más poblados donde se reúnen los corredores de datos, los desarrolladores de malware, los corredores de acceso inicial y los afiliados de ransomware”, dijo Thomas en el informe. En una conversación con Bleeping Computer, Thomas dijo que la herramienta funciona y ya no requiere una clave de licencia.
Thomas explicó los peligros potenciales de la tecnología y dijo: “Uno de los aspectos más preocupantes de la herramienta BRC4 para muchos expertos en seguridad es su capacidad para generar shellcode que muchos productos EDR y AV no detectan. Esta ventana extendida de evasión de detección puede dar a los actores de amenazas suficiente tiempo para establecer el acceso inicial, comenzar el movimiento lateral y lograr la persistencia en otros lugares”.
Saber que esta poderosa herramienta está disponible, en manos de piratas informáticos que nunca deberían haber tenido acceso a ella, definitivamente da miedo. Esperemos que los desarrolladores de software antivirus puedan reforzar las defensas contra Brute Ratel lo suficientemente pronto.
Recomendaciones de los editores