Archivos de etiquetas: prevención

SamSam Ransomware ya llega a casi US$6 millones en ganancias

Recientemente Sophos publicó un estudio de este ransomware, incluyendo su método de propagación y ganancias de los atacantes. Considerando la gravedad de los casos como por ejemplo en hospitales, municipalidades y plantas industriales de Estados Unidos. Esta publicación además incluye consejos para evitar este tipo de ataques.
A inicios de 2016 fueron las primeras detecciones del ransomware SamSam, un malware cuyo modo de infección era distinto a todo lo conocido anteriormente. Este ataque utiliza una variedad de herramientas incluodas en Windows para escalar sus propios privilegios y luego analizar la red en búsqueda de objetivos. Luego se copia en cada equipo posible.
Una vez que se ha copiado la carga en los equipos de una red, la instrucción de encriptar se ejecuta considerando el horario local de las maquinas infectadas, con tal de que los administradores se encuentren – literalmente – durmiendo.
Al contrario de otros ransomware, la distribución de SamSam es manual. No existen campañas de spam con adjuntos sospechosos. En este caso el ataque es “a la antigua”, forzando ingresos a puertos RDP expuestos por ejemplo, y explotando vulnerabilidades de los sistemas. SamSam tiene mayor éxito cuando se trata de un sistema con una contraseña fácil de adivinar.
Puntos clave:
SamSam ha recaudado aproximadamente US$6 millones desde fines de 2015.74% de las víctimas conocidas se encuentran en Estados Unidos. Otras regiones afectadas en menor medida son Canada, Reino Unido y el Medio Este.La mayor cantidad pagada por rescate por una víctima individual, hasta ahora, está avaluada en US$64.000, bastante más que la mayoría de las familias de ransomware.Los objetivos han sido organizaciones de sector público en salud, educación y gobierno en un 50%, siendo la otra mitad empresas que no han revelado públicamente detalles de estos ataques.Los atacantes escogen cuidadosamente al objetivo meticulosamente y el proceso de encriptación ocurre en momentos donde el monitoreo de los administradores de sistemas es poco probable.Al contrario de otro ransomware, SamSam no solo encripta documentos, imágenes, datos personales o de trabajo, también encripta archivos de configuración necesarios para ejecutar aplicaciones (como Microsoft Office). De esta forma las estrategias de respaldo comunes quedan obsoletas y la única forma de recuperar el equipo es reinstalando todo.Cada ataque subsiguiente muestra un progreso en la sofisticación de la seguridad operacional del ransomware.El costo para las víctimas ha ido en ascenso permanente, sin señal alguna de un declive en la cantidad de ataques.
Anatomía del ataque
El patrón de ataque mediante SamSam es relativamente predecible, comprendiendo las siguientes 6 etapas:
1.- Identificación y adquisición de objetivo
Para la primera parte aún se desconoce el método exacto, pero una posibilidad muy real es la compra de listados de servidores vulnerables en la dark web, o realizando búsquedas en motores como Shodan o Censys. Lo claro es que se tienda a apuntar a organizaciones de mediano y gran tamaño principalmente en Estados Unidos.
La segunda parte, adquirir el objetivo, es bastante directa, en sus comienzos este ransomware explotaba vulnerabilidades en sistemas JBOSS para adquirir los privilegios con los cuales solía distribuirse. Hoy tiene mayor alcance al utilizar fuerza bruta a cuentas de RDP de Windows.
2.- Penetración de la red
Como ya fue descrito, los atacantes concentran sus esfuerzos en utilizar ataques de fuerza bruta al forzar la entrada en máquinas accesibles en internet usando el protocolo de Escritorio Remoto (RDP). Aunque parezca asombroso, una simple búsqueda en Shodan puede revelar miles de direcciones IP accesibles sobre el puerto 3389 (RDP por defecto).
3.- Elevación de privilegios
Esto ocurre mediante una serie de exploits al RDP. Una vez dentro de la red, el atacante utiliza una combinación de herramientas para elevar sus privilegios al nivel de administrador de dominio.Esto puede tomar dias inclusive, la máquina comprometida se encuentra corriendo Mimikatz, una herramienta que registra credenciales, por lo que ellos roban la credencial de administrador al minuto de que ésta es ingresada.
4.- Búsqueda de objetivos en la red
A diferencia de otros ransomware mas conocidos como WannaCry, SamSam no posee capacidades del tipo gusano o virus, no se replica independientemente. En vez de esto, el ataque se desarrolla utilizando herramientas legítimas de Windows tales como PsExec junto con credenciales robadas, tal como si se tratase de una aplicación legítima administrada por el dominio del usuario.
El atacante utiliza las credenciales robadas para tomar control de uno de los servidores víctima, el cual utiliza como centro de comando para todo el ataque. Desde esta ubicación se realiza un análisis de la red, una vez que puede ingresar a otro sistema, escribe un archivo llamado test.txt, a la vez genera un archivo llamado alive.txt en el servidor de comando, el cual será utilizado como lista de objetivos.
Al ser este procedimiento de forma manual, no llama mucho la atención. También permite que el atacante escoja sus objetivos prácticamente “con pinza” y conocer cuales son los equipos encriptados.
5.- Despliegue y ejecución del ransomware
La forma mas común de ejecución es la aplicación Sysinternals PsExec, mediante la cual el atacante copia los archivos a través de la red. En casos de bloqueo de PsExec se ha detectado la utilización de PowerAdmin PaExec.
6.- Pago
una vez que el ataque fue iniciado, lo único que queda para el atacante es esperar a ver si la víctima toma contacto mediante el sitio de pagos en la dark web. El atacante otorga 7 días para el pago del rescato, aunque por un costo adicional se puede extender este tiempo
Prevención e IoC
La extensión de los archivos encriptados ha ido variando conforme evolucionan las versiones de SamSam, originalmente siendo .stubbin para luego cambiar en abril de 2018 a .berkshire, después a .satoshi y últimamente a .sophos. Lo cual es considerado como un tributo debido a las dificultades que Sophos les ha puesto para la propagación de este ransomware.
Algunos URL de sitios de pago:
roe53ncs47yt564u.onion/east3roe53ncs47yt564u.onion/fatmanroe53ncs47yt564u.onion/athenaevpf4i4csbohoqwj.onion/hummerevpf4i4csbohoqwj.onion/cadillac
Algunas billeteras de Bitcoin asociadas:
136hcUpNwhpKQQL7iXXWmwUnikX7n98xsL1FDj6HsedzPNgVKTAHznsHUg4pKnGRarH61EzpHEojHsLkHTExyz45Tw6L7FNiaeyZdm1NkDXh778bwxhKb1Wof9oPbUfs6NWrURja182jpCsoGD92Pi5JrKnfAhoHVF9rqHdCjm
Nombres de nota de rescate:
HELP_DECRYPT_YOUR_FILES.htmlHOW_TO_DECRYPT_FILES.htmlHELP_FOR_DECRYPT_FILE.htmlI_WILL_HELP_YOU_DECRYPT.htmlPLEASE_READ_FOR_DECRYPT_FILES.htmlWE-CAN-HELP-U.html
Extensiones de archivos encriptados:
.encryptedRSA.encryptedAES.btc-help-you.only-we_can-help_you.iloveworld.VforVendetta
Porcentaje de víctimas por sector industrial:
Gobierno: 13%
Educación: 11%
Salud: 26%
Privado: 50%
La mejor forma de que una organización se proteja ante SamSam, y muchos otros ataques, es reduciendo el perfil de amenaza, y no siendo un objetivo fácil en primer lugar.
Una forma de lograrlo es manteniendo los sistemas con sus actualizaciones de seguridad al día y configuraciones seguras (Gestión de Vulnerabilidades). También que los empleados usen métodos de autenticación seguros, incluyendo contraseñas fuertes (Políticas de contraseña) y en lo posible utilizar un segundo factor de autenticación.
Las organizaciones que no estén parchando regularmente contra vulnerabilidades conocidas en sus aplicaciones y sistemas operativos utilizados, quedan expuestos a que sus sistemas queden públicamente expuestos a estos ataques. Se deben corregir la mayoría de los errores frecuentes tan pronto como posible, como por ejemplo securizar o cerrar el puerto de RDP por defecto 3389 de internet.
Además, Sophos recomienda tomar las siguientes medidas:
Seguir un protocolo estricto de parchado en los sistemas operativos y todas las aplicaciones que se ejecutan en éste.Realizar análisis de vulnerabilidades y pentesting en red interna y perimetral.Evaluaciones periódicas para identificar los servicios y puertos accesibles públicamente, utilizando herramientas externas como Censys o Shodan, para luego securizarlos.Restringir el acceso al puerto 3389 sólo al personal con acceso, por ejemplo, mediante VPN.Implementar un segundo factor de autenticación en los sistemas internos, aún siendo para colaboradores en la misma LAN o VPN.Mejorar las políticas de contraseñas. Motive a los colaboradores a utilizar gestores de contraseña, claves mas largas y evitar la reutilización de credenciales para múltiples cuentas.Mejorar los controles de acceso. Activar políticas sensibles para securizar cuentas inactivas, bloqueo automático y notificación de cuentas en casos reiterados de logins fallidos.Monitoreo en tiempo real con metas en la identificación y bloqueo necesario en caso de actividad inusual en cuentas, principalmente en las privilegiadas.Educar al personal en temas de seguridad, realizar tests de phishing periódicamente.
Principio del menor privilegio (PoLP)
Refiere a entregar a los usuarios y administradores la menor cantidad de acceso que necesiten para realizar su trabajo, por ejemplo:
Usuarios que no necesiten instalar software no deben tener privilegios de administrador o root en los dispositivos que controlan.Administradores de TI no deberían usar una cuenta con credenciales de administrador de Dominio para ver la web y revisar el correo.Cuentas de servicio que son usadas para servicios importantes como Base de Datos, no deberían acceder a servidores de respaldo.

ALERTA PHISHING: Chilexpress

Una vez mas somos testigos de como los ciberdelincuentes nos atacan, intentando apropiarse de nuestras claves de acceso o instalar algun malware que sirva para extorsionarnos de alguna forma como es el ransomware.
En esta oportunidad nos encontramos con un correo que aparenta venir de la empresa de courier Chilexpress, en el cual aparece un número de seguimiento y un link que nos invita a revisar el estado de la encomienda que supuestamente recibiremos.

Los links que figuran en el correo de phishing en realidad llevan a otra dirección la cual al ingresar nos muestra un mensaje de “sin permiso”:

El ataque contiene mecanismos de detección de análisis, aunque se detectó que descarga archivos con extensión .cab y que instala “parches” en procesos en ejecución.
El resultado de Hybrid-Analysis se puede encontrar en http://tinyurl.com/yb8cez8c
Recomendaciones
La principal herramienta ante un ataque por phishing es la observación, el ataque de phishing intenta engañar a la víctima para que ingrese a links enmascarados o entregue información sensible a los atacantes, esto lo intenta hacer al enviarnos correos o mostrando mensajes en páginas intervenidas con el siguiente tipo de mensajes:
“Ingrese para ver el detalle de su transferencia/encomienda/multa””Confirme sus datos de acceso””Ha ganado! ingrese para reclamar su premio”
y muchos mas.
Por tanto, atención al recibir correos inesperados con mensajes que nos invitan a ingresar a sitios o entregar datos de forma “urgente”.