Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!
Toma nota de los siguientes consejos de ciberseguridad para tus vacaciones y descansa tranquilo.
Las vacaciones son el periodo tan ansiado y esperado durante el año. Es el momento donde todo el cansancio del año se va y estamos listos para crear nuevos y felices recuerdos. Pero… ¿Qué pasa con nuestros dispositivos, nuestros datos, nuestras billeteras virtuales y la confidencialidad de nuestra información?
En este artículo, vamos a hablar sobre Zloader, Elephant-beetle y Avoslocker-ransomware, campañas de malware que han tenido miles de víctimas y gran perjuicio económico para sus afectados.
A continuación, podrás encontrar una descripción detallada de en qué consisten estas campañas de malware además de recomendaciones para evitar caer en ataques de estas características.
Si requieres más información sobre nuestros excelentes planes y servicios de Awareness para concientizarte en ciberseguridad junto a tu equipo y evitar caer en ataques, no dudes en comunicarte con nosotros haciendo click aquí.[/vc_column_text]
Zloader, un malware bancario diseñado para robar credenciales de usuario e información privada. Las campañas anteriores de Zloader, que se vieron en 2020, usaron documentos maliciosos, sitios para adultos y anuncios de Google para infectar sistemas.
La evidencia de la nueva campaña se anunció por primera vez a principios de noviembre de 2021. Dicha campaña se cobró 2170 víctimas en 111 países al 2 de enero de 2022, con la mayoría de las partes afectadas ubicadas en los EE.UU, Canadá, India, Indonesia y Australia.
Las técnicas incorporadas en la cadena de infección incluyen el uso de software de administración remota (RMM) legítimo para obtener acceso inicial a la máquina objetivo.
El malware explota el método de verificación de firma digital de Microsoft para inyectar su carga útil en una DLL firmada del sistema para evadir aún más las defensas del sistema.
CADENA DE INFECCIÓN:
La infección comienza con la instalación del software Atera en la máquina de la víctima.
Atera es un software de administración y monitoreo remoto empresarial legítimo, diseñado para uso de TI. Los autores de la campaña crearon este instalador (b9d403d17c1919ee5ac6f1475b645677a4c03fe9) con una dirección de correo electrónico temporal: ‘ Antik.Corp@mailto.plus ‘. El archivo imita una instalación de Java, al igual que en campañas anteriores de Zloader.
Una vez que el agente está instalado en la máquina, el atacante tiene acceso completo al sistema y puede cargar/descargar archivos, ejecutar scripts, etc. Atera ofrece una prueba gratuita de 30 días para nuevos usuarios, tiempo suficiente para el atacante para obtener sigilosamente el acceso inicial.
Después de la instalación del agente, el atacante carga y ejecuta dos archivos.bat en el dispositivo mediante la función “Ejecutar script“:
defenderr.bat se utiliza para modificar las preferencias de Windows Defender.
load.bat se utiliza para cargar el resto del malware.
El resto de archivos están alojados en el dominio teamworks455[.]com y se descargan desde allí.
El script load.bat descarga y ejecuta new.bat, que verifica los privilegios de administrador y los solicita mediante el script BatchGotAdmin . Luego continúa descargando otro archivo bat (new1.bat).
Este nuevo script agrega más exclusiones a Windows Defender para diferentes carpetas, deshabilita diferentes herramientas en la máquina que podrían usarse para detección e investigación, como cmd.exe y el administrador de tareas. También descarga otros archivos en la carpeta %appdata%:
9092.dll: la carga útil principal, Zloader.
adminpriv.exe – Nsudo.exe. Habilita la ejecución de programas con privilegios elevados.
appContast.dll: se usa para ejecutar 9092.dll y new2.bat.
reboot.dll: también se usa para ejecutar 9092.dll.
new2.bat: desactiva el “Modo de aprobación del administrador” y apaga la computadora.
auto.bat: se coloca en la carpeta de inicio para la persistencia del arranque.
RECOMENDACIONES:
Aplicar la actualización de Microsoft para la verificación estricta de Authenticode. No se aplica por defecto.
No instalar programas de fuentes o sitios desconocidos.
Impedir el uso de Atera o, de lo contrario, monitorearlo y restringirlo.
Utilizar el monitoreo de aplicaciones para controlar la ejecución de archivos .bat y el lanzamiento de cualquier .msi.
El ataque se basa en la simplicidad para ocultarse a simple vista, sin necesidad de desarrollar herramientas sofisticadas o exploits.
Utilizan más de 80 herramientas y scripts únicos, el grupo ejecuta sus ataques durante largos períodos de tiempo, mezclándose con el entorno del objetivo y pasando completamente desapercibido mientras libera silenciosamente a las organizaciones de grandes cantidades de dinero.
Elephant Beetle parece enfocarse principalmente en objetivos latinoamericanos.
El grupo es muy competente con los ataques basados en Java y, en muchos casos, tiene como objetivo aplicaciones Java heredadas que se ejecutan en máquinas basadas en Linux como medio de entrada inicial al entorno. Más allá de eso, el grupo incluso implementa su propia aplicación web Java completa en las máquinas de las víctimas para cumplir sus órdenes mientras la máquina también ejecuta aplicaciones legítimas.
Elephant Beetle opera en un patrón sigiloso y bien organizado, realizando de manera eficiente cada fase de su plan de ataque una vez dentro de un entorno comprometido:
Durante la primera fase, que puede durar hasta un mes, el grupo se enfoca en desarrollar capacidades cibernéticas operativas dentro de la organización infectada . El grupo estudia el panorama digital y planta backdoors mientras personaliza sus herramientas para trabajar dentro de la red de la víctima.
En una segunda fase, el grupo pasa varios meses estudiando este entorno, enfocándose en la operación financiera e identificando cualquier falla. Durante esta etapa, observan el software y la infraestructura para comprender el proceso técnico de las transacciones financieras legítimas.
El grupo crea transacciones fraudulentas en el medio ambiente durante la tercera fase. Estas transacciones imitan el comportamiento legítimo y extraen cantidades incrementales de dinero de la víctima. Aunque la cantidad de dinero robado en una sola transacción puede parecer insignificante, el grupo acumula numerosas transacciones por lo que asciende a millones de dólares.
Si durante sus esfuerzos se descubre y bloquea cualquier actividad de robo, el grupo simplemente permanece oculto durante unos meses solo para regresar y apuntar a un sistema diferente.
Una vez que el servidor web se ha visto comprometido, el atacante utiliza un escáner Java personalizado que obtiene una lista de direcciones IP para un puerto específico o una interfaz HTTP.
Habiendo identificado posibles puntos de pivote del servidor interno, los actores usan credenciales comprometidas o fallas de RCE para propagarse lateralmente a otros dispositivos en la red.
Los investigadores de Sygnia han observado al grupo durante dos años y pueden confirmar que los actores de la amenaza explotan las siguientes fallas:
Inyección de lenguaje de expresión de aplicaciones Primefaces (CVE-2017-1000486)
Explotación de deserialización SOAP de WebSphere Application Server (CVE-2015-7450)
Explotación de servlet de invocador de SAP NetWeaver (CVE-2010-5326)
Ejecución remota de código de SAP NetWeaver ConfigServlet (EDB-ID-24963)
Las cuatro vulnerabilidades anteriores permiten a los actores ejecutar código arbitrario de forma remota a través de un shell web ofuscado y especialmente diseñado.
RECOMENDACIONES:
‘Elephant Beetle’ usa variables de código y nombres de archivos en español, y la mayoría de las direcciones IP C2 que usan están basadas en México.
Además, el escáner de red escrito en Java se cargó a Virus Total desde Argentina, probablemente durante la fase inicial de desarrollo y prueba.
Mantener los parches de actualización al día.
Evite usar el procedimiento ‘xp_cmdshell’ y desactívelo en servidores MS-SQL. Supervise los cambios de configuración y el uso de ‘xp_cmdshell’.
Supervise las implementaciones de WAR y valide que la funcionalidad de implementación de paquetes esté incluida en la política de registro de las aplicaciones relevantes.
Busque y supervise la presencia y creación de un archivo .class sospechoso en las carpetas temporales de las aplicaciones de WebSphere.
Supervise los procesos que fueron ejecutados por procesos de servicios primarios del servidor web (es decir, ‘w3wp.exe’, ‘tomcat6.exe’) o por procesos relacionados con la base de datos (es decir, ‘sqlservr.exe’).
Implemente y verifique la segregación entre la DMZ y los servidores internos.
Una familia de ransomware emergente que se autodenomina Avos Locker ha estado intensificando los ataques al mismo tiempo que realiza un esfuerzo significativo para deshabilitar los productos de seguridad de endpoints.
Sophos Rapid Response descubrió que los atacantes habían iniciado sus computadoras de destino en modo seguro para ejecutar el ransomware, como lo habían hecho los operadores de las ahora desaparecidas familias de ransomware Snatch , REvil y BlackMatter.
La razón de esto es que muchos, si no la mayoría, de los productos de seguridad de endpoints no se ejecutan en modo seguro, una configuración de diagnóstico especial en la que Windows desactiva la mayoría de los controladores y el software de terceros, y puede hacer que las máquinas protegidas no sean seguras.
Los atacantes de Avos Locker no solo reinician las máquinas en modo seguro para las etapas finales del ataque. También, modifican la configuración de inicio del modo seguro para poder instalar y usar la herramienta comercial de administración de TIAnyDesk mientras las computadoras con Windows aún se ejecutaban en modo seguro.
Los atacantes también parecen haber aprovechado otra herramienta comercial de administración de TI conocida como PDQ Deploy para enviar scripts por lotes de Windows a las máquinas que planeaban atacar.
RECOMENDACIONES:
Trabajar en Modo seguro hace que proteger las computadoras sea aún más difícil, porque Microsoft no permite que las herramientas de seguridad de endpoints se ejecuten en Modo seguro.
Los productos de Sophos detectan, por comportamiento, el uso de varias claves de registro Run y RunOnce para hacer cosas como por ejemplo reiniciar en modo seguro o ejecutar archivos después de un reinicio.
Mantén el software actualizado y active las actualizaciones automáticas siempre que sea posible
Aplicar políticas de contraseñas seguras y autenticación multifactor (MFA)
Realice copias de seguridad y pruebe periódicamente su restauración.
Reduzca la superficie de ataque mediante la eliminación de servicios y software no utilizados o innecesarios
Mitigar los ataques de fuerza bruta.
Habilite la protección contra manipulaciones para evitar que los atacantes desinstalen su software de seguridad.
Nuestro partner Kaspersky, realizó un estudio donde comparó datos desde el 2019 a la fecha y anunció un incremento superlativo de ataques Ransomware. Este tipo de ataque se ha escuchado recientemente en numerosas ocasiones, siendo algunos de los últimos y más conocidos el hackeo de REvil a Kaseya, compañía de software de Estados Unidos.
También fueron difundidos masivamente los ataques a las empresas JBS, Apple, Accenture, incluso la ONU y a Colonial Pipeline; esta última reconoció que accedió a un pago de u$s5 millones para recuperar sus activos.
Los valores del Ataque de Ransomware
Durante el año se pagó un total acumulado de casi U$S 50 millones en todo el mundo en concepto de rescate ante ransomwares. En cuanto a los distintos tipos de este ataque, el que mayores ingresos registró hasta la fecha es Conti, con más de U$S 14 millones. Le sigue REvil/Sodinokibi, con más de U$S 11 millones.
El aumento de ataques se produce a partir de que el pago promedio, a comparación del año pasado, aumentara un 171%, superando los U$S 312.000.
El acceso remoto a partir del home office y la piratería son los principales vectores de ataque, tanto para consumidores como para empresas.
El informe creado por Kaspersky sobre América Latina toma como referencia los 20 programas maliciosos más populares, los cuales representan más de 728 millones de intentos de infección en la región, un promedio de 35 ataques por segundo.
La pandemia tomó desprevenidos a los usuarios y, sobre todo, a las empresas, ya que no contaban con medidas para reconocer las amenazas en un entorno cambiante como el que se generó.
«El 73% de los empleados que trabajan desde casa no han recibido ninguna orientación o formación específica sobre ciberseguridad para mantenerse a salvo de los riesgos y, tan sólo el 53% de ellos utiliza una VPN para conectarse a las redes corporativas. Por lo tanto, el teletrabajo puede suponer un gran riesgo para la seguridad de la organización», señala el partner de NV.
La conclusión es clara: La seguridad de las tecnologías para el trabajo remoto debe ser prioridad.
Actualmente, estamos viendo un aumento del 25% en los ciberdelitos en todo el mundo. En estos momentos, España es el 9° país del mundo más atacado y Argentina lo sigue, entrando en el puesto 34° de la lista durante septiembre.
«El reciente cambio en las prácticas laborales, así como la digitalización, la llegada del 5G y el eventual crecimiento del número de dispositivos IoT, entre otras cosas, contribuirán a un aumento general de la ciberdelincuencia en todo el mundo. Los ciberataques seguirán creciendo exponencialmente en sofisticación y volumen». Indican desde Kaspersky.
Respecto a esto, Gartner coincide también. Todo indica que para 2025, al menos el 75% de las organizaciones se enfrentarán a uno o más ataques.
Desde el punto de vista de Kaspersky, los ataques de ransomware«Siguen cambiando y evolucionando rápidamente. Año tras año, los atacantes se vuelven más audaces y sus metodologías se perfeccionan».Teniendo esto en cuenta, señala que no hay marcha atrás. El fenómeno seguirá creciendo:«Causan y seguirán causando más trastornos que antes».
Todo el mundo es susceptible de caer en ataques de ransomware, phishing o smishing. Incluso alguien entrenado para detectar una falsificación puede a veces tener dificultades para determinar si un mensaje es de phishing o es una comunicación legítima.
El número de ciberdelincuentes está creciendo y por eso es sumamente importante poder educarnos a través de la ciberconcientización. Realizando actividades de hardening sobre los usuarios les estaremos brindando herramientas para disminuir los posibles vectores de ataque sobre la compañía.
Desde NextVision, promovemos la predicción, prevención, detección y respuesta temprana para evitar situaciones reactivas en las que debemos lidiar con pagos de rescates que financian el ciberdelito y no garantizan el recupero de la información. Contamos con una guía de preparación ante el ransomware.
Además, creemos en la capacitación y la concientización en ciberseguridad con el objetivo de educar a los colaboradores de cada organización y fomentar así la construcción de una cultura cibersegura.
La ingeniería social es la práctica en donde los ciberdelincuentes obtienen información confidencial a través de la manipulación de los usuarios para que se salten todos los procedimientos de seguridad que deberían seguir para protegerse.
¿Has recibido alguna vez el mail de un supuesto banco que te alerta porque la cuenta fue cancelada y debes hacer clic para introducir tus datos y de esta forma reactivarla? Así como este, hay cientos de ejemplos y formas en que los criminales pueden obtener información que les ayude a robar información sensible para acceder a entornos más protegidos como los corporativos, infectar con malware, cometer fraudes, extorsionar o robar la identidad digital de la víctima.
También usan las redes sociales para entablar relaciones cercanas con sus víctimas, generar confianza y obtener así los datos con los que finalmente pueda concretar su objetivo, ya sea en contra de la persona o incluso de la empresa para la cual trabaja. Aquí es necesario preguntarse ¿Están informadas las empresas y los usuarios sobre este tipo de tácticas? y ¿sabemos cómo reaccionar ante ellas?
Ingeniería Social en el ámbito corporativo y personal de los usuarios:
En la actualidad es más fácil engañar a una persona para que entregue su contraseña de ingreso que hacer el esfuerzo de hackear un sistema, el cual seguramente contará con controles y alertas de seguridad que impedirán el ataque.
Recordemos que la ingeniería social es equivalente al hacking personal, y de no contar con empleados y usuarios informados y capacitados, esta podría ser la mayor amenaza de seguridad para las organizaciones, por más actualizados que tengamos los sistemas operativos y por muy buenos software de seguridad que usemos.
Existen diferentes técnicas de ingeniería social, como:
Ofrecer recompensas opremios a cambio de descargar archivos maliciosos o entregar gran cantidad de datos que permitan robarle su identidad (Quid Pro Quo).
Phishing: correos fraudulentos que engañan para que la víctima comparta información sensible.
Robo de identidad: hacerse pasar por otra persona para obtener datos privilegiados.
Scareware: alertar sobre una infección de malware inexistente en el equipo y ofrecer una “solución” que termina por afectar el dispositivo.
Baiting: uso de USBs con malware que se dejan en lugares públicos para que alguien los encuentre y los conecte a su ordenador o dispositivo.
Hacking de email, envío de spam a contactos, etc.
Vishing: el criminal llama al empleado de una empresa para hacerse pasar por un colega que necesita cierta información para solucionar una urgencia o por un empleado de una empresa que solicita información personal para solucionar una incidencia de un servicio contratado.
El Spear Phishing puede ser uno de los más difíciles de identificar, pues el ciberdelincuente elige un objetivo dentro de la organización o a un usuario habitual de la red para realizar investigación sobre los temas, personajes, eventos de interés e información relacionada con el área, así puede enviarle emails segmentados y relevantes para que al final haga clic en un enlace malicioso infectando así su ordenador.
Por último, encontramos el Fraude del CEO/Suplantación del CEO que tiene lugar cuando es un alto directivo el blanco de ataque de los ciberdelincuentes. Estos ciberataques tratan de sustraer las credenciales de inicio de sesión o mail. De esta manera, podrían hacerse pasar por un directivo y autorizar una transferencia bancaria fraudulenta o acceder a información muy confidencial de la organización.
¿Qué podemos hacer para prevenir estos ciberataques?
Como podemos comprobar, es fundamental que las compañías y la sociedad en general adopten una cultura cibersegura que brinde capacitación continua y para que mantenga la información actualizada acerca de las amenazas vigentes. Es recomendable que dentro de la estrategia de seguridad se considere:
Ayudar a los trabajadores y usuarios particulares a entender por qué es tan importante que sigan las recomendaciones de seguridad y sean precavidos ante posibles ciberataques.
Realizar una evaluación que permita medir el nivel de entendimiento de los empleados sobre temas de seguridad. Así se podrán identificar riesgos y crear programas de capacitación a medida de estas necesidades.
Empoderarlos para que sepan reconocer las principales amenazas y puedan reaccionar correctamente ante ellas.
Hacer seguimiento de cómo evoluciona el conocimiento de ciberseguridad con el transcurso de las capacitaciones.
Promover el uso del doble factor de autenticación para evitar el robo de identidad en nuestro correo electrónico y en nuestras redes sociales habituales como LinkedIn o Facebook.
Fomentar el empleo de contraseñas seguras para también evitar la suplantación de nuestra identidad. Debemos aprender a crear contraseñas seguras para protegernos en la red.
Además es fundamental contar con programas que eliminen las infecciones y puedan rastrear su origen, que eviten descargas no deseadas en los equipos de la oficina, que detecten y eliminen virus, malware y también filtren el spam, para proteger a los más incautos.
Porque como hemos visto, la ingeniería social representa un riesgo muy alto y es más difícil protegerse frente a sus diversas tácticas, ya que el objetivo es llegar al sistema engañando a las personas. Por ello, la seguridad de la información debe considerarse también como un proceso cultural, más si tenemos en cuenta que el 80% de los ciberataques se originan por errores humanos.
Por todo ello, en NextVision hemos desarrollado NV Awareness, un programa único, integral y continuo centrado en las personas, para acompañar a tu empresa con estrategias integrales que incluyan la educación y transformación de los hábitos de los empleados. ¡Contáctenos!
En la sociedad hiperconectada en la que vivimos, se producen ciberataques todos los días. Varios de ellos son graves y pueden acabar con la infraestructura digital de una empresa. Es el caso del ataque de Ransomware que sufrieron multitud de despachos profesionales hace dos semanas en Lleida, España.
En dicho ciberataque se encriptaron valiosos datos de gestorías, asesorías y otras empresas. Es decir, se secuestraron miles de archivos de dichos negocios gracias a un ciberataque a Esofitec, distribuidora leridana de servidores cloud.
¿Qué significa esto? Que el ataque fue perpetrado a un proveedor de servidores, y trajo como consecuencia la afectación de cientos de clientes que hacen uso de ellos para el almacenamiento de información crítica. Hoy en día, son cada vez más crecientes los ciberataques que sufren las organizaciones a través de brechas de seguridad de sus terceras partes.
A pesar de que la empresa ya se ha puesto manos a la obra para recuperar los datos, los hackers responsables de este ciberataque han pedido una cuantiosa recompensa por devolverlos. Las empresas afectadas se han empezado a organizar para comenzar el proceso legal por los perjuicios sufridos.
¿En qué consiste un ciberataque Ransomware?
Un ransomware es un ciberataque cuyo objetivo es el de “secuestrar” un dispositivo. Es decir, el ciberdelincuente bloquea el acceso al dispositivo a su legítimo dueño, y pide un rescate por reestablecer dicho acceso.
Este tipo de ciberataques no son una novedad. De hecho, hace unos meses hablábamos del ransomware Sodinokibi, que tuvo un impacto global, aunque no afectó a servicios críticos. Y, como expertos, hemos desarrollado una guía ransomware que puedes descargarte para profundizar más en esta materia.
Lo que ha llamado mucho la atención del caso de Esofitec es que ha sido un ciberataque dentro de la nube. Ha sido un ataque enfocado en pymes y solo posible a través de una brecha en una tercera parte, en este caso el proveedor de servidores. Este tipo de incidentes ponen de relieve la necesidad de realizar un análisis de riesgos sobre el impacto que puede provocar también un tercero.
Desde hace años se utilizan los servidores cloud en multitud de empresas precisamente como una forma de evitar ataques a dispositivos físicos. Sin embargo, a principios del año pasado ya empezaban a salir a la luz investigaciones que mostraban una mayor sofisticación de este malware. Y también un nuevo objetivo: la nube. Atacar la nube significa una oportunidad de llegar a más víctimas.
¿Cómo protegernos de un ransomware?
El caso de leida ha dado mucho que hablar por las graves consecuencias que ha tenido. No obstante, noticias así nos hacen revisar y replantear la seguridad de nuestros archivos.
Hay algunas acciones que podemos llevar a cabo para estar preparados ante un ataque ransomware, incluso si se produce en la nube.
1. Concienciación respecto a correos sospechosos
El principal medio por el que se producen este tipo de ataques es el correo electrónico. Lo primero es que todo el mundo tenga esta información para que se puedan prevenir los ataques. Monitorizar correos sospechosos y no ejecutar archivos contenidos en esos correos son acciones básicas que todo usuario ha de considerar.
2. Copias de seguridad
Tener varios backups de datos siempre es una buena manera de estar prevenidos. Estas copias han de ser ubicadas en servidores distintos (incluyendo servidores locales para no depender enteramente de la nube), tener incorporadas distintos métodos de autenticación y en distintas localizaciones. Si el ataque se produce en uno de los servidores, podemos seguir accediendo a los datos en las copias de seguridad.
3. Autenticación en dos pasos
En cuanto a los métodos de autenticación, es más seguro usar aquellos que necesitan de dos pasos. Es decir, que no solo dependan de una contraseña para poder acceder a los datos. Mensajes SMS, métodos biométricos, aplicaciones específicas, etc.
4. Protocolo de respuesta
La concienciación sobre este tipo de ataques no solo pasa por un conocimiento general. Las empresas que dependan de una infraestructura digital necesitan tener un protocolo específico para este tipo de situaciones. Un protocolo dedicado a detectar, paliar y compensar de alguna manera el ataque, si es que este no se puede evitar finalmente.
Hay una sofisticación de los ciberataques según evolucionan también los procesos de seguridad informática. Es importante que las empresas se mantengan al día con este tipo de noticias para poder actualizar sus protocolos de respuesta; y también que gestionen los riesgos a partir de una definición y priorización de proyectos. Incluyendo en estas consideraciones la monitorización de proveedores, pues, como hemos visto, pueden ser una fuente de brechas de seguridad.
Para alinear estas prioridades con las inversiones y con los objetivos estratégicos de las empresas, en NextVision ofrecemos un servicio de consultoría de Plan Director diseñado para cubrir estas necesidades. Por otra parte, ya que multitud de empresas no cuentan con un CISO (Chief Information Security Officer) dentro de su estructura, también contamos con el servicio de CISO as a service. Y por supuesto que es importante contar con una buena gestión del ciberriesgo de terceras partes. En este sentido, podemos colaborar con nuestro servicio NV Vendor Risk Management.
Contáctanos para saber más sobre estos servicios a medida y sobre cómo podemos ayudarte en la seguridad digital de tu empresa.
Importante grupo de empresas de Retail habría sido afectado por una variante del Ransomware Egregor. Los sistemas de algunas tiendas del conglomerado del retail en la región de Valparaíso (Chile) y según se indica en redes sociales, también en el resto del país e incluso en Argentina fueron afectados. Al parecer las notas de rescate se imprimieron en varios supermercados de la cadena alrededor de las 20 hs del día viernes.
Resumen
Egregor, una escisión del Ransom Sekhmet, ha estado activo desde mediados de septiembre de este año, y en este tiempo, ha estado vinculado a presuntos ataques contra organizaciones como GEFCO, Barnes & Noble y a las empresas de videojuegos Crytek y Ubisoft.
Egregor también se ha asociado con el modelo Ransomware-as-a-Service (RaaS), en el que los clientes pueden suscribirse para acceder al malware. Egregor mantiene al menos un dominio .onion y dos dominios web tradicionales, este utiliza una variedad de técnicas anti-ofuscación y empaquetamiento del payload para evitar su análisis. Se considera que la funcionalidad del ransomware es similar a la de Sekhmet. “En una de las etapas de ejecución, la carga útil de Egregor solo se puede descifrar si se proporciona la clave correcta a través de la línea de comando, lo que significa que el archivo no se puede analizar, ya sea manualmente o usando una sandbox”.
El ransomware Egregor suele ser distribuido por los delincuentes después de una violación de la red corporativa. La muestra de malware es un archivo DLL que debe iniciarse con la contraseña correcta proporcionada como argumento de línea de comando. La DLL generalmente se descarga de Internet. En ocasiones, los dominios utilizados para difundirlo explotan nombres o palabras utilizadas en la industria de la víctima.
Egregor es probablemente la familia de ransomware más agresiva en términos de negociación con las víctimas. Solo da 72 hs para contactar al actor de la amenaza. De lo contrario, los datos de la víctima se procesan para su publicación. El pago del ransomware se negocia y acuerda a través de un chat especial asignado a cada víctima y el pago se recibe en BTC.
Impacto
Según muestras de notas de rescate, una vez que una víctima ha sido infectada y sus archivos cifrados, los operadores exigen que establezcan contacto a través de Tor o un sitio web dedicado para organizar el pago. Además, la nota amenaza con que si no se paga un rescate en tres días, los datos robados se harán públicos.
Soluciones
Por ahora se está recomendando bloquear las siguientes IP relacionadas al ataque a la empresa de retail:
C&C
185.82.126.8
IPs
185.238.0[.]233
45.153.242[.]129
91.199. 212[.]52
217.8.117[.]147
Dominios principales
www.egregor[eliminado].*
egregor[eliminado]*.onion
*egregor.top
sekhmet*.*
Otros dominios
ozcsgqmpjwromp[.]com
wsjlbbqemr23[.]com
xjkwkzdyfcabhr[.]com
fvkmmwlzvsqdod[.]com
dmvbdfblevxvx[.]com
tczzzlwpss[.]com
txvzmlfzlklhtf[.]com
xtngmptkcqk[.]biz
ihvxmjmdvbn[.]biz
qukqkdcjriz[.]ws
mtafdrvjmif[.]com
kcijbcqvdfv[.]org
tnlttlmxuhc[.]com
txmxffytum[.]biz
vjzwvzjmoc[.]com
ktmjqztagkm[.]org
saalzvhzgkk[.]cc
bvhtxgzwob[.]cc
vrfgwwcesy[.]org
uozwtmgpogg[.]info
qammsjskgkm[.]cc
jfbmnpxgpi[.]ws
hvwvrxpinnv[.]cn
mshrgnslzmqobm[.]com
twcdkhmttfeipv[.]com
Soporte
Contá con NextVIsion !
Si tenés contrato de soporte activo , envianos un mail a:
soporte@nextvision.com
Caso contrario podes contactar a nuestro equipo comercial a info@nextvision.com
Ciberataque a telco argentina Ransomware Sodinokibi
Resumen del Incidente
El día sábado 18 de Julio una telco argentina fue afectada por un ciberataque de impacto global, el cual afortunadamente no afectó a servicios críticos de la empresa ni tampoco a sus clientes ni a la base de datos de estos.
Sodinokibi es un ransomware para sistemas Windows cuya propagación sigue el modelo Ransomware as a Service, es decir, código malicioso que se comercializa de forma personalizada, ajustándose a las necesidades de cada uno de los suscriptores.
Algunas fuentes asocian su autoría al mismo equipo que desarrolló el malware GandCrab, siendo una evolución de este último. Esta afirmación se sustenta en la similitud del código fuente, tanto en estructura como en funcionamiento, además de presentar el mismo modelo de actualización y versionado, así como unos vectores de propagación muy similares.
Para infectar los sistemas, recurre a diferentes técnicas de ofuscación, principalmente basadas en criptografía, para dificultar su análisis e identificación de sus firmas por parte de otros programas de seguridad, como antivirus o sistemas de detección de intrusión (IDS), esta característica lo hace extremadamente peligroso ya que pasa desapercibido ante controles de este tipo.
Medios de propagación:
La propagación de este ransomware se ha producido a nivel mundial, siendo Asia la región más afectada. Los principales vectores son:
El envío de correos maliciosos, mediante campañas de spam.
La publicidad maliciosa o malvertising, es decir código malicioso presente en los anuncios que aparecen durante la navegación web, tanto para ser ejecutado directamente en el equipo, como para redirigir a servidores donde se descargan otros ejecutables.
Ataques de fuerza bruta sobre el protocolo (RDP).
Explotación de vulnerabilidad CVE-2019-2725 que afecta a sistemas Oracle.
Impacto
El ataque fue específicamente al sector interno: ningún usuario de la telco, Personal o Fibertel se vio afectado.
Los usuarios corporativos lamentablemente no han recibido ninguna notificación oficial de la empresa, pero no se conocen casos de afectados, ya que el ataque y daño fue en la red interna de Telecom.
Análisis – Causa Raíz El archivo ejecutable se empaqueta de forma personalizada, empaquetando todas las cadenas de texto, nombres de librerías y archivos DLL mediante el algoritmo criptográfico RC4, empleando una clave aleatoria diferente y de longitud variable para cada uno de los elementos cifrados. De esta forma, las cadenas de texto, las tablas API y las referencias a librerías en las que se basa habitualmente el software antivirus para detectar código malicioso resultan ineficaces en su identificación.
La información para su carga se descifra en tiempo de ejecución, utilizando el hash de la cadena en lugar de la propia cadena, lo cual incrementa aún más la dificultad de detección. Además, en su estructura de datos tampoco es posible reconocer el tamaño de las claves ni los datos, lo que hace muy difícil su descifrado por medios automatizados mediante herramientas y métodos convencionales.
Una vez que el código malicioso se ejecuta en el sistema de la víctima, gracias a alguno de los diferentes vectores de ataque vistos anteriormente, su primera acción es generar un identificador o mutex, para evitar que entre más de un proceso a la vez en la sección crítica. De esta forma, previene fallos de funcionamiento y dificulta su detección.
El siguiente paso es descifrar la configuración incrustada en su código en formato JSON, que dictará las operaciones que llevará a cabo en función de los parámetros que haya seleccionado el suscriptor del servicio malicioso, por lo que podrán variar de unos a otros.
Acciones Correctivas
Por parte del equipo de seguridad y protección de la red corporativa se recomienda en su capa perimetral poseer un equipo con funcionalidad UTM (Firewall de Perímetro) específicamente con Antivirus que bloquee estos tipos de ataques ATP; adicionalmente dentro de la Red LAN proteger los Endpoint bloqueando en su solución de Antivirus los datos siguientes.
· Bloqueo de indicadores de compromiso (Iocs)
· Bloqueo de las IP relacionadas al ransomware
· Bloqueo de los dominios relacionados al ransomware
· Bloqueo de los hashes (SHA 256) relacionados al ransomware
· Bloqueo de los sender relacionados al ransomware
· Bloqueo de las URL relacionadas al ransomware
Ya varias soluciones de Endpoint tienen bloqueada esta vulnerabilidad: F-Secure, Sophos AV, Kaspersky, Symantec y Fortinet UTM AV.
Recomendaciones:
Contar con una capa de seguridad perimetral licenciada (UTM) para prevenir ataques de ATP específicamente con un antivirus que tenga protección en tiempo real.
Mantener el software antivirus siempre en ejecución y actualizado.
Hacer copias de seguridad frecuentemente y mantenerlas en soportes desconectados.
Mantener actualizados los sistemas operativos y las aplicaciones.
Realizar un análisis de los enlaces de Internet y servicios publicados, en los segmentos de IP públicas, mediante herramientas dedicadas tales como Vendor Risk Management.
Instalar aplicaciones específicas de seguridad en la red interna (Acceso seguro la red y sus recursos, cifrado de archivos, Discos, Email).
Segregar y segmentar la red en subredes y zonas DMZ.
Construir una cultura cibersegura: generar campañas de concienciación a usuarios y programas de Awareness que ayuden a los colaboradores a identificar potenciales correos maliciosos.
Recientemente se anunció que el Ransomware Cuba ha comprometido a varias compañías en América Latina. Uno de los métodos de distribución es el correo electrónico con archivos adjuntos que contienen macros maliciosos.
Desde NextVision hemos notado un crecimiento de este ataque en los últimos días, por eso enviamos esta alerta a todos nuestros clientes.
Es FUNDAMENTAL trabajar en una estrategia de seguridad para prevenir y recuperarse ante este tipo de Ransomware.
Servicios Afectados:
• Sistema operativo Windows
Características:
Cuba cifra los documentos de MS Office, OpenOffice, PDF, archivos de texto, bases de datos, música, vídeos, archivos de imágenes, entre otros. Al momento de cifrarlos les agrega la extensión .cuba o FIDEL.CA y crea un archivo de texto con el nombre !!!FAQ for Decryption!!.txt, el cual es una nota de rescate dejada por los atacantes.
En la nota de rescate los atacantes dejan un correo de contacto y advertencia como:
• No cambiar de nombre a los archivos encriptados.
• No tratar de desencriptar los datos usando algún software.
Los atacantes advierten que realizar cualquiera de las dos acciones anteriores puede provocar la pérdida permanente de información comprometida por el Ransomware. Por otro lado, los operadores de esta amenaza afirman que la información de sus víctimas se descarga en sus propios servidores.
Vectores y métodos de infección/propagación:
· Por puertos RDP expuestos y mal configurados/desactualizados
· Malspam – correos de falsas facturaciones
· Malversting – actualizaciones e instalación de software malicioso
· Explotando CVE-2018-8174
Ejemplo de carta de Ransomware
Víctima Nombre: !!FAQ for Decryption!!.txt
MD5: 355cef917441d509c1432aac5ba9e23d Mensaje:
“””
Good day. All your files are encrypted. For decryption contact us.
Write here iracomp4@protonmail.ch [ mailto:iracomp4@protonmail.ch ]
We also inform that your databases, ftp server and file server were downloaded by us to our servers.
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
“””
¿Qué recomendaciones hacemos desde NextVision?
· Mantener equipos y servidores con las firmas del antivirus actualizadas.
· Segmentar redes con servidores críticos.
· Utilizar contraseñas fuertes y políticas de expiración de ellas.
· Utilizar el principio del menor privilegio.
· Eliminar/Bloquear emails sospechosos.
. Se recomienda bloquear las siguientes direcciones de IP, remitentes y URLs en la soluciones perimetrales de antispam y proxy:
– SMTP Host:
– 212.24.111.24
– 194.135.88.52
– 185.5.54.34
– 195.181.242.207
– 194.135.84.68
– 195.181.244.195
– 212.24.99.29
• Sender:
– apache@2tgp.l.serverhost.name
– apache@2th0.l.serverhost.name
– apache@2tgx.l.serverhost.name
– apache@2tf8.l.serverhost.name
– apache@2sq7.l.serverhost.name
– apache@2tgw.l.serverhost.name
• URLs:
– hxxps://www.ausy.fr
– hxxps://scotiportalenlinea-cl.com
. Programas de Educación y Concientización a empleados: es fundamental que todos los miembros de tu organización conozcan qué es el Ransomware y cómo actúa mientras trabajan y navegan por Internet. Construir una cultura cibersegura es primordial para evitar este tipo de ataques. Conocé más en NV Awareness, un programa único, integral y continuo centrado en las personas, para acompañar a tu empresa con estrategias integrales que incluyan la educación y transformación de los hábitos de los empleados, promoviendo una cultura de seguridad basada en las personas.
Si su equipo se infecta, ¿cuáles son los pasos debe seguir?:
No hay herramienta de eliminación de Ransomware. Si sus equipos se infectan y sus datos se cifran, siga estos pasos:
1. No pague el rescate.
Si paga el rescate:
• No hay garantía de que el atacante vaya a suministrar un método para desbloquear su equipo o para descifrar sus archivos.
• El atacante usa el dinero del rescate para financiar ataques adicionales contra otros usuarios.
2. Aísle el equipo infectado antes de que el Ransomware pueda atacar las unidades de red a las cuales tiene acceso.
3. Restaure archivos dañados de una copia de seguridad de buena reputación
4. Envíe el software malicioso a NextVision. Si puede identificar el correo electrónico o el archivo ejecutable malicioso, envíelo a nuestro equipo de soporte. Nuestra comunicación directa con los partners proveedores de productos de seguridad permiten crear nuevas firmas y mejorar las defensas contra el Ransomware.
Si algo faltaba para que un ciberataque sea más peligroso, es que además de cifrarte archivos, te chantajeen con exponerlos si no pagamos por su rescate. Así están funcionando las nuevas variedades de Ransomware.
En este sentido, Nemty se ha convertido en noticia porque el verdadero problema con este malware, además del secuestro, está en lo que los delincuentes quieren hacer con todos los datos que han podido robar en los últimos tiempos. En este caso, han confirmado sus planes para crear un blog en el que van a ir publicando los datos robados de las víctimas que no acepten pagar un rescate.
Pensar que los archivos personales pueden ser publicados ha demostrado ser una medida de presión muy útil. Esta técnica ya fue empleada con éxito por Maze Ransomware y Sodinokibi.
¿Cómo funciona realmente?
Si una víctima no paga lo que se le exige, los datos personales se irán filtrando poco a poco en Internet hasta que el pago sea realizado. En caso de no llevarse a cabo, todos los datos serán publicados en Internet con el pasado del tiempo. Esto suele funcionar más en empresas, aunque también puede servir para chantajear a particulares.
En las empresas funciona por razones obvias. Además de los problemas de confidencialidad y legales que les podría acarrear, su imagen quedaría seriamente dañada. En el caso de Nemty Ransomware, incluso quieren crear un portal para que todos estos datos sean fácilmente “localizables” por parte de otras personas.
¿Qué recomendaciones hacemos desde NextVision?
El Ransomware hay que prevenirlo. Te invitamos a leer nuestro e-book para evitar ser víctima de un ataque de Ransomware.
This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Cookie settingsACCEPT
Privacy & Cookies Policy
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
