Archivos de etiquetas: SamSam

SamSam Ransomware ya llega a casi US$6 millones en ganancias

Recientemente Sophos publicó un estudio de este ransomware, incluyendo su método de propagación y ganancias de los atacantes. Considerando la gravedad de los casos como por ejemplo en hospitales, municipalidades y plantas industriales de Estados Unidos. Esta publicación además incluye consejos para evitar este tipo de ataques.
A inicios de 2016 fueron las primeras detecciones del ransomware SamSam, un malware cuyo modo de infección era distinto a todo lo conocido anteriormente. Este ataque utiliza una variedad de herramientas incluodas en Windows para escalar sus propios privilegios y luego analizar la red en búsqueda de objetivos. Luego se copia en cada equipo posible.
Una vez que se ha copiado la carga en los equipos de una red, la instrucción de encriptar se ejecuta considerando el horario local de las maquinas infectadas, con tal de que los administradores se encuentren – literalmente – durmiendo.
Al contrario de otros ransomware, la distribución de SamSam es manual. No existen campañas de spam con adjuntos sospechosos. En este caso el ataque es “a la antigua”, forzando ingresos a puertos RDP expuestos por ejemplo, y explotando vulnerabilidades de los sistemas. SamSam tiene mayor éxito cuando se trata de un sistema con una contraseña fácil de adivinar.
Puntos clave:
SamSam ha recaudado aproximadamente US$6 millones desde fines de 2015.74% de las víctimas conocidas se encuentran en Estados Unidos. Otras regiones afectadas en menor medida son Canada, Reino Unido y el Medio Este.La mayor cantidad pagada por rescate por una víctima individual, hasta ahora, está avaluada en US$64.000, bastante más que la mayoría de las familias de ransomware.Los objetivos han sido organizaciones de sector público en salud, educación y gobierno en un 50%, siendo la otra mitad empresas que no han revelado públicamente detalles de estos ataques.Los atacantes escogen cuidadosamente al objetivo meticulosamente y el proceso de encriptación ocurre en momentos donde el monitoreo de los administradores de sistemas es poco probable.Al contrario de otro ransomware, SamSam no solo encripta documentos, imágenes, datos personales o de trabajo, también encripta archivos de configuración necesarios para ejecutar aplicaciones (como Microsoft Office). De esta forma las estrategias de respaldo comunes quedan obsoletas y la única forma de recuperar el equipo es reinstalando todo.Cada ataque subsiguiente muestra un progreso en la sofisticación de la seguridad operacional del ransomware.El costo para las víctimas ha ido en ascenso permanente, sin señal alguna de un declive en la cantidad de ataques.
Anatomía del ataque
El patrón de ataque mediante SamSam es relativamente predecible, comprendiendo las siguientes 6 etapas:
1.- Identificación y adquisición de objetivo
Para la primera parte aún se desconoce el método exacto, pero una posibilidad muy real es la compra de listados de servidores vulnerables en la dark web, o realizando búsquedas en motores como Shodan o Censys. Lo claro es que se tienda a apuntar a organizaciones de mediano y gran tamaño principalmente en Estados Unidos.
La segunda parte, adquirir el objetivo, es bastante directa, en sus comienzos este ransomware explotaba vulnerabilidades en sistemas JBOSS para adquirir los privilegios con los cuales solía distribuirse. Hoy tiene mayor alcance al utilizar fuerza bruta a cuentas de RDP de Windows.
2.- Penetración de la red
Como ya fue descrito, los atacantes concentran sus esfuerzos en utilizar ataques de fuerza bruta al forzar la entrada en máquinas accesibles en internet usando el protocolo de Escritorio Remoto (RDP). Aunque parezca asombroso, una simple búsqueda en Shodan puede revelar miles de direcciones IP accesibles sobre el puerto 3389 (RDP por defecto).
3.- Elevación de privilegios
Esto ocurre mediante una serie de exploits al RDP. Una vez dentro de la red, el atacante utiliza una combinación de herramientas para elevar sus privilegios al nivel de administrador de dominio.Esto puede tomar dias inclusive, la máquina comprometida se encuentra corriendo Mimikatz, una herramienta que registra credenciales, por lo que ellos roban la credencial de administrador al minuto de que ésta es ingresada.
4.- Búsqueda de objetivos en la red
A diferencia de otros ransomware mas conocidos como WannaCry, SamSam no posee capacidades del tipo gusano o virus, no se replica independientemente. En vez de esto, el ataque se desarrolla utilizando herramientas legítimas de Windows tales como PsExec junto con credenciales robadas, tal como si se tratase de una aplicación legítima administrada por el dominio del usuario.
El atacante utiliza las credenciales robadas para tomar control de uno de los servidores víctima, el cual utiliza como centro de comando para todo el ataque. Desde esta ubicación se realiza un análisis de la red, una vez que puede ingresar a otro sistema, escribe un archivo llamado test.txt, a la vez genera un archivo llamado alive.txt en el servidor de comando, el cual será utilizado como lista de objetivos.
Al ser este procedimiento de forma manual, no llama mucho la atención. También permite que el atacante escoja sus objetivos prácticamente “con pinza” y conocer cuales son los equipos encriptados.
5.- Despliegue y ejecución del ransomware
La forma mas común de ejecución es la aplicación Sysinternals PsExec, mediante la cual el atacante copia los archivos a través de la red. En casos de bloqueo de PsExec se ha detectado la utilización de PowerAdmin PaExec.
6.- Pago
una vez que el ataque fue iniciado, lo único que queda para el atacante es esperar a ver si la víctima toma contacto mediante el sitio de pagos en la dark web. El atacante otorga 7 días para el pago del rescato, aunque por un costo adicional se puede extender este tiempo
Prevención e IoC
La extensión de los archivos encriptados ha ido variando conforme evolucionan las versiones de SamSam, originalmente siendo .stubbin para luego cambiar en abril de 2018 a .berkshire, después a .satoshi y últimamente a .sophos. Lo cual es considerado como un tributo debido a las dificultades que Sophos les ha puesto para la propagación de este ransomware.
Algunos URL de sitios de pago:
roe53ncs47yt564u.onion/east3roe53ncs47yt564u.onion/fatmanroe53ncs47yt564u.onion/athenaevpf4i4csbohoqwj.onion/hummerevpf4i4csbohoqwj.onion/cadillac
Algunas billeteras de Bitcoin asociadas:
136hcUpNwhpKQQL7iXXWmwUnikX7n98xsL1FDj6HsedzPNgVKTAHznsHUg4pKnGRarH61EzpHEojHsLkHTExyz45Tw6L7FNiaeyZdm1NkDXh778bwxhKb1Wof9oPbUfs6NWrURja182jpCsoGD92Pi5JrKnfAhoHVF9rqHdCjm
Nombres de nota de rescate:
HELP_DECRYPT_YOUR_FILES.htmlHOW_TO_DECRYPT_FILES.htmlHELP_FOR_DECRYPT_FILE.htmlI_WILL_HELP_YOU_DECRYPT.htmlPLEASE_READ_FOR_DECRYPT_FILES.htmlWE-CAN-HELP-U.html
Extensiones de archivos encriptados:
.encryptedRSA.encryptedAES.btc-help-you.only-we_can-help_you.iloveworld.VforVendetta
Porcentaje de víctimas por sector industrial:
Gobierno: 13%
Educación: 11%
Salud: 26%
Privado: 50%
La mejor forma de que una organización se proteja ante SamSam, y muchos otros ataques, es reduciendo el perfil de amenaza, y no siendo un objetivo fácil en primer lugar.
Una forma de lograrlo es manteniendo los sistemas con sus actualizaciones de seguridad al día y configuraciones seguras (Gestión de Vulnerabilidades). También que los empleados usen métodos de autenticación seguros, incluyendo contraseñas fuertes (Políticas de contraseña) y en lo posible utilizar un segundo factor de autenticación.
Las organizaciones que no estén parchando regularmente contra vulnerabilidades conocidas en sus aplicaciones y sistemas operativos utilizados, quedan expuestos a que sus sistemas queden públicamente expuestos a estos ataques. Se deben corregir la mayoría de los errores frecuentes tan pronto como posible, como por ejemplo securizar o cerrar el puerto de RDP por defecto 3389 de internet.
Además, Sophos recomienda tomar las siguientes medidas:
Seguir un protocolo estricto de parchado en los sistemas operativos y todas las aplicaciones que se ejecutan en éste.Realizar análisis de vulnerabilidades y pentesting en red interna y perimetral.Evaluaciones periódicas para identificar los servicios y puertos accesibles públicamente, utilizando herramientas externas como Censys o Shodan, para luego securizarlos.Restringir el acceso al puerto 3389 sólo al personal con acceso, por ejemplo, mediante VPN.Implementar un segundo factor de autenticación en los sistemas internos, aún siendo para colaboradores en la misma LAN o VPN.Mejorar las políticas de contraseñas. Motive a los colaboradores a utilizar gestores de contraseña, claves mas largas y evitar la reutilización de credenciales para múltiples cuentas.Mejorar los controles de acceso. Activar políticas sensibles para securizar cuentas inactivas, bloqueo automático y notificación de cuentas en casos reiterados de logins fallidos.Monitoreo en tiempo real con metas en la identificación y bloqueo necesario en caso de actividad inusual en cuentas, principalmente en las privilegiadas.Educar al personal en temas de seguridad, realizar tests de phishing periódicamente.
Principio del menor privilegio (PoLP)
Refiere a entregar a los usuarios y administradores la menor cantidad de acceso que necesiten para realizar su trabajo, por ejemplo:
Usuarios que no necesiten instalar software no deben tener privilegios de administrador o root en los dispositivos que controlan.Administradores de TI no deberían usar una cuenta con credenciales de administrador de Dominio para ver la web y revisar el correo.Cuentas de servicio que son usadas para servicios importantes como Base de Datos, no deberían acceder a servidores de respaldo.

SamSam ransomware y el ataque a la ciudad de Atlanta

El jueves 22 de marzo de 2018 fuimos testigos de las consecuencias que trae un ataque de ransomware organizado y dirigido. La última víctima de infecciones del ransomware SamSam fue la ciudad de Atlanta en EEUU. Fuentes oficiales indicaron que la ciudad se encontraba activamente luchando contra una infección por ransomware, lo cual resultó en la pérdida de acceso a archivos y la baja de servicios y sistemas.
Según el Jefe de Operaciones de la ciudad, Ricard Cox, la infección se detectó a las 5:40 am del jueves (hora local) afectando en principio a los servicios relacionados con el pago de cuentas y archivos judiciales en línea. El lado positivo es que el sitio web y la infraestructura crítica como el sistema de seguridad pública, aguas y el aeropuerto operaron sin mayores problemas.
La nota de rescate desplegada en cada equipo indica que los atacantes solicitaban $6.800 dólares americanos para desencriptar los archivos en cada computador infectado. Alternativamente se le ofreció a “la ciudad” la opción de pagar $51.000 dólares a cambio de las llaves de desencriptación para todos los computadores afectados en el ataque.
La alcadesa de Atlanta, Keisha Lance Bottoms, al ser consultada por los planes de la ciudad para pagar el rescate, no descartó la opción inmediatamente, aduciendo que estaban a la espera de consejo por parte de agencias federales.
La ciudad estuvo trabajando con el FBI, el departamento de seguridad interna, Microsoft y Cisco para determinar la causal de esta infección y la mejor forma de responder al ataque. Los expertos que revisaron la nota encontraron similitudes que sugieren que el ransomware involucrado es SamSam, una cadena de ransomware que ha incrementado en actividad en lo que va del año, infectando otras agencias de gobierno estadounidense. SamSam tiene un historial de réplica mediante internet, principalmente a través de ataques de fuerza bruta en RDP o explotando vulnerabilidades específicas.
También se confirmó que los sistemas de esta ciudad tienen servidores con SMBv1 expuesto a internet, lo que permitiría una explotación mediante EternalBlue (el mismo exploit de WannaCry y NotPetya).
Algunas cosas acerca del ransomware SamSam
Su notoriedad comenzó junto con el 2018: Éste no fue el primer ataque con un objetivo gubernamental utilizando SamSam, ya en enero otras municipalidades y oficinas de gobierno fueron infectadas, en más de una ocasión. Aunque originalmente fue descubierto en 2016 al ser utilizado contra blancos consistentes en organizaciones relacionadas con la salud que utilizaban servidores vulnerables JBoss. Una de sus víctimas, Erie County Medical Center, sufrió por meses sus consecuencias y el daño se estimó en $10 millones de dólares. Actualmente los atacantes que lo utilizan llevan acumuladas ganancias de más de $300.000 dólares en Bitcoin.SamSam se utiliza principalmente contra organizaciones gubernamentales y de salud: Como ya fue indicado anteriormente, este ransomware fue utilizado en ataques contra este tipo de organizaciones, se intuye que esto se debe a los presupuestos acotados junto con la gran criticidad de los servicios ofrecidos, de esta forma el impacto es mayor en muchos aspectos, lo que fuerza a sus víctimas a realizar el pago del rescate para recuperar la operatividad de sus servicios.

No se propaga por correos: Al contrario de muchas cadenas de ransomware, SamSam no depende de empleados despistados ni de correos con supuestos premios que tienten a hacer “click aquí”. En vez de eso, este ransomware utiliza las vulnerabilidades en servidores para ganar acceso mediante credenciales débiles o expuestas. Tampoco son los únicos que utilizan este enfoque, identificar los puertos abiertos y servicios como RDP es una técnica frecuente en los ataques en el último tiempo. Para prevenir los ataques por RDP se sugiere:

Restringir el acceso mediante firewalls y utilizar un gateway de RDP, usar VPN.Usar contraseñas robustas y un segundo factor de autenticaciónLimitar los usuarios que puedan utilizar el Escritorio Remoto.Implementar una política de bloqueo de cuentas para bloquear aquellas que son víctimas de ataques de fuerza bruta

Los atacantes detrás de SamSam son especialistas en evitar detecciones de antivirus y en atacar a ls mismas víctimas en reiteradas oportunidades: En cada uno de estos incidentes, las limitaciones de los antivirus tradicionales han sido expuestas. Con el más claro ejemplo del ataque al departamento de transporte de Colorado el cual fue infectado a pesar de contar con el antivirus McAfee en todos sus equipos. McAfee respondió actualizando su software con nuevas firmas para bloquear esta variante de SamSam. Sin embargo al cabo de 8 dias después los atacantes enviaron una nueva variante diseñada para evadir la detección por firmas, infectaron a la misma organización por segunda vez, en esta ocasión el portavoz de la oficina de tecnologías de la información de Colorado asumió que las herramientas que estaban utilizando no sirvieron pues el malware se encuentra adelantado a ellos. En este punto una herramienta de detección por comportamiento como Sophos Intercept X hubiese sido vital desde un comienzo para salvaguardar la integridad y disponibilidad de los datos.SamSam puede ser evitado: Hoy los ataques avanzados evaden o inhabilitan los antivirus. Para poder detenerlos, las organizaciones deben invertir en herramientas más inteligentes, la seguridad endpoint avanzada debe tener la habilidad de no sólo bloquear ejecutables, sino detener el comportamiento malicioso en tiempo real. Sophos Intercept X con Deep Learning es un sistema liviano de análisis de comportamiento, el deep learning de Intercept X hace que sea mas inteligente y brinda mayor seguridad que las herramientas que utilizan únicamente el aprendizaje automático tradicional o la detección basada en firmas.

Fuente: https://blog.barkly.com/atlanta-ransomware-attack-2018-samsam