Archivo mensual: Marzo 2018

SamSam ransomware y el ataque a la ciudad de Atlanta

El jueves 22 de marzo de 2018 fuimos testigos de las consecuencias que trae un ataque de ransomware organizado y dirigido. La última víctima de infecciones del ransomware SamSam fue la ciudad de Atlanta en EEUU. Fuentes oficiales indicaron que la ciudad se encontraba activamente luchando contra una infección por ransomware, lo cual resultó en la pérdida de acceso a archivos y la baja de servicios y sistemas.
Según el Jefe de Operaciones de la ciudad, Ricard Cox, la infección se detectó a las 5:40 am del jueves (hora local) afectando en principio a los servicios relacionados con el pago de cuentas y archivos judiciales en línea. El lado positivo es que el sitio web y la infraestructura crítica como el sistema de seguridad pública, aguas y el aeropuerto operaron sin mayores problemas.
La nota de rescate desplegada en cada equipo indica que los atacantes solicitaban $6.800 dólares americanos para desencriptar los archivos en cada computador infectado. Alternativamente se le ofreció a “la ciudad” la opción de pagar $51.000 dólares a cambio de las llaves de desencriptación para todos los computadores afectados en el ataque.
La alcadesa de Atlanta, Keisha Lance Bottoms, al ser consultada por los planes de la ciudad para pagar el rescate, no descartó la opción inmediatamente, aduciendo que estaban a la espera de consejo por parte de agencias federales.
La ciudad estuvo trabajando con el FBI, el departamento de seguridad interna, Microsoft y Cisco para determinar la causal de esta infección y la mejor forma de responder al ataque. Los expertos que revisaron la nota encontraron similitudes que sugieren que el ransomware involucrado es SamSam, una cadena de ransomware que ha incrementado en actividad en lo que va del año, infectando otras agencias de gobierno estadounidense. SamSam tiene un historial de réplica mediante internet, principalmente a través de ataques de fuerza bruta en RDP o explotando vulnerabilidades específicas.
También se confirmó que los sistemas de esta ciudad tienen servidores con SMBv1 expuesto a internet, lo que permitiría una explotación mediante EternalBlue (el mismo exploit de WannaCry y NotPetya).
Algunas cosas acerca del ransomware SamSam
Su notoriedad comenzó junto con el 2018: Éste no fue el primer ataque con un objetivo gubernamental utilizando SamSam, ya en enero otras municipalidades y oficinas de gobierno fueron infectadas, en más de una ocasión. Aunque originalmente fue descubierto en 2016 al ser utilizado contra blancos consistentes en organizaciones relacionadas con la salud que utilizaban servidores vulnerables JBoss. Una de sus víctimas, Erie County Medical Center, sufrió por meses sus consecuencias y el daño se estimó en $10 millones de dólares. Actualmente los atacantes que lo utilizan llevan acumuladas ganancias de más de $300.000 dólares en Bitcoin.SamSam se utiliza principalmente contra organizaciones gubernamentales y de salud: Como ya fue indicado anteriormente, este ransomware fue utilizado en ataques contra este tipo de organizaciones, se intuye que esto se debe a los presupuestos acotados junto con la gran criticidad de los servicios ofrecidos, de esta forma el impacto es mayor en muchos aspectos, lo que fuerza a sus víctimas a realizar el pago del rescate para recuperar la operatividad de sus servicios.

No se propaga por correos: Al contrario de muchas cadenas de ransomware, SamSam no depende de empleados despistados ni de correos con supuestos premios que tienten a hacer “click aquí”. En vez de eso, este ransomware utiliza las vulnerabilidades en servidores para ganar acceso mediante credenciales débiles o expuestas. Tampoco son los únicos que utilizan este enfoque, identificar los puertos abiertos y servicios como RDP es una técnica frecuente en los ataques en el último tiempo. Para prevenir los ataques por RDP se sugiere:

Restringir el acceso mediante firewalls y utilizar un gateway de RDP, usar VPN.Usar contraseñas robustas y un segundo factor de autenticaciónLimitar los usuarios que puedan utilizar el Escritorio Remoto.Implementar una política de bloqueo de cuentas para bloquear aquellas que son víctimas de ataques de fuerza bruta

Los atacantes detrás de SamSam son especialistas en evitar detecciones de antivirus y en atacar a ls mismas víctimas en reiteradas oportunidades: En cada uno de estos incidentes, las limitaciones de los antivirus tradicionales han sido expuestas. Con el más claro ejemplo del ataque al departamento de transporte de Colorado el cual fue infectado a pesar de contar con el antivirus McAfee en todos sus equipos. McAfee respondió actualizando su software con nuevas firmas para bloquear esta variante de SamSam. Sin embargo al cabo de 8 dias después los atacantes enviaron una nueva variante diseñada para evadir la detección por firmas, infectaron a la misma organización por segunda vez, en esta ocasión el portavoz de la oficina de tecnologías de la información de Colorado asumió que las herramientas que estaban utilizando no sirvieron pues el malware se encuentra adelantado a ellos. En este punto una herramienta de detección por comportamiento como Sophos Intercept X hubiese sido vital desde un comienzo para salvaguardar la integridad y disponibilidad de los datos.SamSam puede ser evitado: Hoy los ataques avanzados evaden o inhabilitan los antivirus. Para poder detenerlos, las organizaciones deben invertir en herramientas más inteligentes, la seguridad endpoint avanzada debe tener la habilidad de no sólo bloquear ejecutables, sino detener el comportamiento malicioso en tiempo real. Sophos Intercept X con Deep Learning es un sistema liviano de análisis de comportamiento, el deep learning de Intercept X hace que sea mas inteligente y brinda mayor seguridad que las herramientas que utilizan únicamente el aprendizaje automático tradicional o la detección basada en firmas.

Fuente: https://blog.barkly.com/atlanta-ransomware-attack-2018-samsam