El pasado mes de febrero, un equipo de analistas de ciberseguridad publicó una investigación de un nuevo malware “altamente sofisticado” denominado como BendyBear. Se trata de una variante de WaterBear, una campaña que utiliza malware modular y que ha estado activa desde 2009.

Este malware está asociado con BlackTech, un grupo de origen chino cuyos principales objetivos son organizaciones y agencias tecnológicas del Este de Asia, con especial énfasis en Taiwan, aunque también han realizado ciberataques contra organizaciones en Japón y en Hong Kong.  Todas estas campañas, incluida BendyBear, tienen un denominador común según los analistas: el robo de documentos confidenciales y el ciberespionaje que puedan servir a los intereses de organizaciones o el Estado Chino.  Pero, ¿qué es capaz de hacer y cómo funciona BendyBear?

Furtivo y anti-análisis_

El informe de los analistas comienza diciendo que BendyBear es “muy maleable, muy sofisticado y contiene más de 10.000 bytes de código máquina”. Han detectado que mediante Shellcode cargado en el sistema que los ciberatacantes tengan como objetivo, es capaz de hacer transferencias de archivos a su servidor de Comando y Control, otorgarles acceso Shell, realizar capturas de pantalla y muchas otras funciones. Así han podido hacerse con multitud de  archivos y documentos de carácter muy sensible.

Pero lo que le hace realmente peligroso es su capacidad de pasar completamente desapercibido por su gran capacidad para ser furtivo. BendyBear está cambiando constantemente su apariencia utilizando un algoritmo de encriptación y no deja apenas ningún rastro en los archivos de los sistemas. Como ya abordamos con anterioridad en el blog cuando explicamos la acción de la Europol contra Emotet, en realidad el 97% de los malware utilizan hoy en día alguna técnica polimórfica aunque resulte muy sencilla. La peligrosidad del polimorfismo radica en su grado de sofisticación y en este caso, es extremadamente complejo.

En este sentido, hay que tener en cuenta que no solo emplea medidas pasivas de ocultación, sino que también contiene contramedidas muy avanzadas contra las herramientas de ciberseguridad: el malware analiza constantemente su entorno y si detecta signos de rastreo o análisis, utiliza sus características polimórficas para cambiar su propio código y de esta forma evitar cualquier tipo de detección por su firma.

Acelerar la Detección y Respuesta ante Amenazas Persistentes Avanzadas_

Los analistas de ciberseguridad que lo han descubierto han publicado sus Indicadores de Compromiso (IoC) para que los SOC y los equipos de IT puedan identificarlos de manera rápida. Pero lo cierto es que la comunidad de ciberseguridad está cada vez más preocupada por el auge de estas Amenazas Persistentes Avanzadas (APT) que tienen signos de estar patrocinadas por otras potencias extranjeras. El ejemplo anterior más evidente de esta tendencia es Sunburst, el ciberataque responsable del ataque en cadena de suministro al Software Solarwinds y que afectó a cientos de grandes organizaciones, tanto públicas como privadas.

Por eso, bajo este contexto, es más importante que nunca que las organizaciones cuenten con servicios de analítica avanzada para acelerar su capacidad de detección y respuesta ante los APT, como hace Cytomic Orion en base a analítica de comportamiento a escala desde la nube.

Pero además de eso, también necesitan tener plena visibilidad y capacidades preventivas de protección en el Endpoint. Cytomic EDPR cumple con esos requisitos a partir de un enfoque Zero Trust que evita la ejecución de cualquier binario y también proporciona detección de comportamientos anómalos. Ambas características son imprescindibles ante malwares furtivos que apenas dejan rastro, como ha demostrado este malware.

Tanto Cytomic Orion como Cytomic EDPR están presentes en Cytomic Covalent. Al final, supone la respuesta a todas las necesidades de operaciones en ciberseguridad que puedan tener las organizaciones y la mejor manera de que estén preparadas ante ciberatacantes que realizan campañas tan desarrolladas como BendyBear.