CSIRT analiza ransomware que habría afectado a la banca

Por Press - 07/09/2020

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRTGOB, realizó un análisis a partir de múltiples fuentes, sobre uno de los vectores de ataques que está circulando en el ecosistema nacional. No se descarta que este vector pueda estar involucrado en el ataque dirigido a las entidades privadas de la economía local en las últimas horas.

El atacante analizado fue el Ransomware Sodinokibi, el cual es un programa distribuido con un modelo de negocio Ransomware-as-a-Service, detectado por primera vez en una campaña en el 2019. Al comienzo del proceso de ejecución, Sodinokibi intenta obtener privilegios explotando algunas vulnerabilidades, después de esta etapa el malware recopila datos básicos del sistema y del usuario, para luego generar el cifrado de datos.

Algunos métodos de propagación son a través de campañas de phishing que contengan archivos adjuntos maliciosos, tratando de engañar a los usuarios para que abran los archivos adjuntos. Estos archivos suelen ser documentos Microsoft Office, archivos como ZIP, RAR, JavaScript, ficheros PDF, ejecutables (.exe), entre otros. Una vez abiertos, descargan otros tipos de malware tipo troyano para propagarse por la red atacada y generar infecciones en cadena.

Los investigadores de Symantec han detectado campañas de ransomware Sodinokibi dirigidas a buscar software de tarjetas de créditos o puntos de venta (PoS). Además han informado que utilizan el malware básico de Cobal Strike para dirigirlo a las víctimas. Otro punto importante que utilizan herramientas legítimas para ingresar a los sistemas como sistema de control remoto, aprovechando la infraestructura de servicios como cloudfront, Amazon, Pastebin para alojar cargas útiles y para crear la infraestructura de C&C, utilizan infraestructura legitima para no ser detectado y el tráfico no sea marcado sospechoso y ser bloqueado.

Microsoft ha observado ataques de fuerza bruta en servidores de escritorio remoto (RDP) y dispositivos de red vulnerables. Luego de la intrusión inicial es seguida por el uso de herramientas básicas para el robo de credenciales y generar los movimientos laterales antes de inyectar la carga útil del ransomware.

Otras investigaciones han detectado que no necesariamente requiere conectarse a C&C para intercambiar las claves de cifrado si no utiliza algoritmo de programación de claves asimétricas, permitiendo que funcione sin ninguna conexión de red. Los datos del sistema y del usuario son transmitidos a varios dominios web legítimos.

CSIRT sugiere implementar las siguientes recomendaciones a la brevedad posible:

  • Aumentar el monitoreo de tráfico no usual,
  • Mantener los equipos actualizados, tanto sistemas operativos como otros software instalados.
  • No abrir documentos de fuentes desconocidas.
  • Tener precaución en abrir documentos y seleccionar enlaces de correos electrónicos.
  • Verificar y controlar los servicios de escritorio remoto (RDP).
  • Bloqueo de script o servicios remotos no permitidos en la instrucción.
  • Monitorear servicios SMB de forma horizontal en la red
  • Mantener actualizados las protecciones perimetrales de las instituciones
  • Aumentar los niveles de protección en los equipos que cumplan las funciones de AntiSpam, WebFilter y Antivirus.
  • Verificar el funcionamiento, y si no es necesario, bloquear las herramientas como PsExec y Powershell.
  • Mantener especial atención sobre el tráfico sospechoso que tengan conexiones a los puertos 135TCP/UDP y 445TCP/UDP
  • Verificar periódicamente los indicadores de compromisos entregados por Csirt en los informes 2CMV20.
  • Segmentar las redes en base a las necesidades de sus activos, permitiendo solamente los puertos necesarios.

En caso de advertir anomalías, CSIRT solicita comunicarse a la brevedad posible al teléfono +(562) 2486 3850, disponible en modalidad 24×7. El objetivo de una rápida notificación es poder colaborar en contener, mitigar o analizar el incidente según la línea de tiempo en la que se encuentre. Tengan presente que estas actividades o incidentes pueden tipificarse como delitos informáticos según la ley vigente Ley 19.223.

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: COMUNICADO CSIRT ALERTA CIBERNETICA

Artículos que te pueden interesar

Chile sufre más de 33 millones de ataques de acceso remoto en 2020

Ver más

ClubHouse: Falsa aplicación para Android roba credenciales de acceso de más de 450 aplicaciones

Ver más

47% de las empresas latinoamericanas utiliza tecnología obsoleta dentro de su infraestructura de TI

Ver más