blog

Novedades

Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!
julio 23, 2020

Alerta : Ransomware Sodinokibi

NextVision

0

Informe y Recomendaciones

Ciberataque a telco argentina Ransomware Sodinokibi 

Resumen del Incidente

El día sábado 18 de Julio una telco argentina fue afectada por un ciberataque de impacto global, el cual  afortunadamente no afectó a servicios críticos de la empresa ni tampoco a sus clientes ni a la base de datos de estos. 

Sodinokibi es un ransomware para sistemas Windows cuya propagación sigue el modelo Ransomware as a Service, es decir, código malicioso que se comercializa de forma personalizada, ajustándose a las necesidades de cada uno de los suscriptores.

Algunas fuentes asocian su autoría al mismo equipo que desarrolló el malware GandCrab, siendo una evolución de este último. Esta afirmación se sustenta en la similitud del código fuente, tanto en estructura como en funcionamiento, además de presentar el mismo modelo de actualización y versionado, así como unos vectores de propagación muy similares.

Para infectar los sistemas, recurre a diferentes técnicas de ofuscación, principalmente basadas en criptografía, para dificultar su análisis e identificación de sus firmas por parte de otros programas de seguridad, como antivirus o sistemas de detección de intrusión (IDS), esta característica lo hace extremadamente peligroso ya que pasa desapercibido ante controles de este tipo. 

Medios de propagación:

La propagación de este ransomware se ha producido a nivel mundial, siendo Asia la región más afectada. Los principales vectores son:

  • El envío de correos maliciosos, mediante campañas de spam.
  • La publicidad maliciosa o malvertising, es decir código malicioso presente en los anuncios que aparecen durante la navegación web, tanto para ser ejecutado directamente en el equipo, como para redirigir a servidores donde se descargan otros ejecutables.
  • Ataques de fuerza bruta sobre el protocolo  (RDP).
  • Explotación de vulnerabilidad CVE-2019-2725 que afecta a sistemas Oracle. 

Impacto 

El ataque fue específicamente al sector interno: ningún usuario de la telco, Personal o Fibertel se vio afectado.

Los usuarios corporativos lamentablemente no han recibido ninguna notificación oficial de la empresa, pero no se conocen casos de afectados, ya que el ataque y daño fue en la red interna de Telecom.
 

Análisis – Causa Raíz
 
El archivo ejecutable se empaqueta de forma personalizada, empaquetando todas las cadenas de texto, nombres de librerías y archivos DLL mediante el algoritmo criptográfico RC4, empleando una clave aleatoria diferente y de longitud variable para cada uno de los elementos cifrados. De esta forma, las cadenas de texto, las tablas API y las referencias a librerías en las que se basa habitualmente el software antivirus para detectar código malicioso resultan ineficaces en su identificación.

La información para su carga se descifra en tiempo de ejecución, utilizando el hash de la cadena en lugar de la propia cadena, lo cual incrementa aún más la dificultad de detección. Además, en su estructura de datos tampoco es posible reconocer el tamaño de las claves ni los datos, lo que hace muy difícil su descifrado por medios automatizados mediante herramientas y métodos convencionales.

Una vez que el código malicioso se ejecuta en el sistema de la víctima, gracias a alguno de los diferentes vectores de ataque vistos anteriormente, su primera acción es generar un identificador o mutex, para evitar que entre más de un proceso a la vez en la sección crítica. De esta forma, previene fallos de funcionamiento y dificulta su detección.

El siguiente paso es descifrar la configuración incrustada en su código en formato JSON, que dictará las operaciones que llevará a cabo en función de los parámetros que haya seleccionado el suscriptor del servicio malicioso, por lo que podrán variar de unos a otros.

Acciones Correctivas

 Por parte del equipo de seguridad y protección de la red corporativa se recomienda en su capa perimetral poseer un equipo con funcionalidad UTM (Firewall de Perímetro) específicamente con Antivirus que bloquee estos tipos de ataques ATP; adicionalmente dentro de la Red LAN proteger los Endpoint bloqueando en su solución de Antivirus los datos siguientes.

·  Bloqueo de indicadores de compromiso (Iocs)

·  Bloqueo de las IP relacionadas al ransomware

·  Bloqueo de los dominios relacionados al ransomware

·  Bloqueo de los hashes (SHA 256) relacionados al ransomware

·  Bloqueo de los sender relacionados al ransomware

·  Bloqueo de las URL relacionadas al ransomware
 

Ya varias soluciones de Endpoint tienen bloqueada esta vulnerabilidad: F-Secure, Sophos AV, Kaspersky, Symantec y Fortinet UTM AV. 

Recomendaciones:

  • Contar con una capa de seguridad perimetral licenciada (UTM) para prevenir ataques de ATP específicamente con un antivirus que tenga protección en tiempo real.
  • Mantener el software antivirus siempre en ejecución y actualizado.
  • Hacer copias de seguridad frecuentemente y mantenerlas en soportes desconectados.
  • Mantener actualizados los sistemas operativos y las aplicaciones.
  • Realizar un análisis de los enlaces de Internet y servicios publicados, en los segmentos de IP públicas, mediante herramientas dedicadas tales como Vendor Risk Management.
  • Instalar aplicaciones específicas de seguridad en la red interna (Acceso seguro la red y sus recursos, cifrado de archivos, Discos, Email).
  • Segregar y segmentar la red en subredes y zonas DMZ.
  • Construir una cultura cibersegura: generar campañas de concienciación a usuarios y programas de Awareness que ayuden a los colaboradores a identificar potenciales correos maliciosos.

Fuente: Equipo de Consultores de NextVision

junio 8, 2020

Difusión Alerta de Seguridad Ransomware CUBA

NextVision

0

Recientemente se anunció que el Ransomware Cuba ha comprometido a varias compañías en América Latina. Uno de los métodos de distribución es el correo electrónico con archivos adjuntos que contienen macros maliciosos.

Desde NextVision hemos notado un crecimiento de este ataque en los últimos días, por eso enviamos esta alerta a todos nuestros clientes.

Es FUNDAMENTAL trabajar en una estrategia de seguridad para prevenir y recuperarse ante este tipo de Ransomware.

Servicios Afectados:

• Sistema operativo Windows

Características:

Cuba cifra los documentos de MS Office, OpenOffice, PDF, archivos de texto, bases de datos, música, vídeos, archivos de imágenes, entre otros. Al momento de cifrarlos les agrega la extensión .cuba o FIDEL.CA y crea un archivo de texto con el nombre !!!FAQ for Decryption!!.txt, el cual es una nota de rescate dejada por los atacantes. 

En la nota de rescate los atacantes dejan un correo de contacto y advertencia como:

• No cambiar de nombre a los archivos encriptados.

• No tratar de desencriptar los datos usando algún software.

Los atacantes advierten que realizar cualquiera de las dos acciones anteriores puede provocar la pérdida permanente de información comprometida por el Ransomware. Por otro lado, los operadores de esta amenaza afirman que la información de sus víctimas se descarga en sus propios servidores.

Vectores y métodos de infección/propagación:

·         Por puertos RDP expuestos y mal configurados/desactualizados

·         Malspam – correos de falsas facturaciones

·         Malversting – actualizaciones e instalación de software malicioso

·         Explotando CVE-2018-8174

Ejemplo de carta de Ransomware

Víctima Nombre: !!FAQ for Decryption!!.txt

MD5: 355cef917441d509c1432aac5ba9e23d Mensaje:

“””

Good day. All your files are encrypted. For decryption contact us.

Write here iracomp4@protonmail.ch [ mailto:iracomp4@protonmail.ch ]

We also inform that your databases, ftp server and file server were downloaded by us to our servers.

*  Do not rename encrypted files.

*  Do not try to decrypt your data using third party software, it may cause permanent data loss.

“””

 ¿Qué recomendaciones hacemos desde NextVision?

·         Mantener equipos y servidores con las firmas del antivirus actualizadas.

·         Segmentar redes con servidores críticos.

·         Utilizar contraseñas fuertes y políticas de expiración de ellas.

·         Utilizar el principio del menor privilegio.

·         Eliminar/Bloquear emails sospechosos.

. Se recomienda bloquear las siguientes direcciones de IP, remitentes y URLs en la soluciones perimetrales de antispam y proxy:

– SMTP Host:

– 212.24.111.24

– 194.135.88.52

– 185.5.54.34

– 195.181.242.207

– 194.135.84.68

– 195.181.244.195

– 212.24.99.29

 Sender:

– apache@2tgp.l.serverhost.name

– apache@2th0.l.serverhost.name

– apache@2tgx.l.serverhost.name

– apache@2tf8.l.serverhost.name

– apache@2sq7.l.serverhost.name

– apache@2tgw.l.serverhost.name

  URLs:

– hxxps://www.ausy.fr

– hxxps://scotiportalenlinea-cl.com

. Programas de Educación y Concientización a empleados: es fundamental que todos los miembros de tu organización conozcan qué es el Ransomware y cómo actúa mientras trabajan y navegan por Internet. Construir una cultura cibersegura es primordial para evitar este tipo de ataques. Conocé más en NV Awareness, un programa único, integral y continuo centrado en las personas, para acompañar a tu empresa con estrategias integrales que incluyan la educación y transformación de los hábitos de los empleados, promoviendo una cultura de seguridad basada en las personas.  

Si su equipo se infecta, ¿cuáles son los pasos debe seguir?:

No hay herramienta de eliminación de Ransomware. Si sus equipos se infectan y sus datos se cifran, siga estos pasos:

1.  No pague el rescate.

Si paga el rescate:

No hay garantía de que el atacante vaya a suministrar un método para desbloquear su equipo o para descifrar sus archivos.

 • El atacante usa el dinero del rescate para financiar ataques adicionales contra otros usuarios.

2. Aísle el equipo infectado antes de que el Ransomware pueda atacar las unidades de red a las cuales tiene acceso.

3. Restaure archivos dañados de una copia de seguridad de buena reputación

 4. Envíe el software malicioso a NextVision. Si puede identificar el correo electrónico o el archivo ejecutable malicioso, envíelo a nuestro equipo de soporte. Nuestra comunicación directa con los partners proveedores de productos de seguridad permiten crear nuevas firmas y mejorar las defensas contra el Ransomware.

Fuentes consultadas: 

El Ransomware hay que prevenirlo.  Te invitamos a descargar y leer nuestro e-book para evitar ser víctima de un ataque de Ransomware.

Por cualquier duda o consulta sobre este u otros temas de ciberseguridad, escribinos a info@nextvision.com 

Departamento de Tecnología de NextVision

enero 16, 2020

Nueva modalidad del Ransomware SECUESTRO + EXTORSIÓN

NextVision

0

Si algo faltaba para que un ciberataque sea más peligroso, es que además de cifrarte archivos, te chantajeen con exponerlos si no pagamos por su rescate. Así están funcionando las nuevas variedades de Ransomware. 

En este sentido, Nemty se ha convertido en noticia porque el verdadero problema con este malware, además del secuestro, está en lo que los delincuentes quieren hacer con todos los datos que han podido robar en los últimos tiempos. En este caso, han confirmado sus planes para crear un blog en el que van a ir publicando los datos robados de las víctimas que no acepten pagar un rescate.

Pensar que los archivos personales pueden ser publicados ha demostrado ser una medida de presión muy útil. Esta técnica ya fue empleada con éxito por Maze Ransomware y Sodinokibi.

¿Cómo funciona realmente?

Si una víctima no paga lo que se le exige, los datos personales se irán filtrando poco a poco en Internet hasta que el pago sea realizado. En caso de no llevarse a cabo, todos los datos serán publicados en Internet con el pasado del tiempo. Esto suele funcionar más en empresas, aunque también puede servir para chantajear a particulares.

En las empresas funciona por razones obvias. Además de los problemas de confidencialidad y legales que les podría acarrear, su imagen quedaría seriamente dañada. En el caso de Nemty Ransomware, incluso quieren crear un portal para que todos estos datos sean fácilmente “localizables” por parte de otras personas.

¿Qué recomendaciones hacemos desde NextVision?

El Ransomware hay que prevenirlo. Te invitamos a leer nuestro e-book para evitar ser víctima de un ataque de Ransomware.