Ransomware es un sofisticado software desarrollado por top tier hackers que tienen como objetivo el secuestro de datos en organizaciones y empresas para exigir un pago (en criptomonedas) por recuperar sus archivos.
Ransomware es una subcategoría de Malware y no es un simple virus de computadora, está desarrollado para la encriptación total de datos en los dispositivos infectados siendo ésta la última etapa en una cadena de sucesos que se desarrollan desde el primer vector de ataque, hoy en día existen ciber mafias organizadas que controlan botnets y distribuyen los ataques de manera automatizada y sincronizada con otros grupos hackers, a estos grupos se les dió el nombre... El Cartel del Ransomware (CDR).
El Cartel del Ransomware son diferentes grupos de hackers que operan variantes de ransomware, con similitud en sus vectores de ataque y con variantes en sus códigos de desarrollo.
Entre los tipos de ransomware que operan estas bandas incluyen Conti Ransomware, Ryuk Ransomware, Lockbit, SunCrypt, Maze, Egregor y Ragnar Locker Ransomware.El Cartel del Ransomware utilizan botnets que automatizan sus ataques, todo iniciando con campañas de correo electrónico (phishing) que incluyen un archivo Word o Excel con un macro malicioso, siendo el principal vector de ataque el engaño al usuario final.
A continuación voy a explicar el paso a paso de los diferentes vectores de ataque de una campaña de ransomware de las que actualmente son víctimas miles de empresas y organizaciones a nivel mundial.
VECTORES DE ATAQUE
- El principal riesgo de los virus de macros es su capacidad para expandirse rápidamente, una vez se ejecuta un macro malicioso, se infecta el resto de documentos que hay en el equipo víctima.
- Algunos de estos códigos macros maliciosos acceden a las cuentas de correo electrónico y envían copias de los archivos infectados a todos los contactos del usuario, y por tener un grado alto de confianza, abriran el archivo sin saber que son víctimas de una expanción del ataque.
- A través de este código Macro, se busca invocar ataques de fuerza bruta para explotar vulnerabilidades en RDP, VPN, software de monitoreo IT, vulnerabilidades en servicios activos, malas configuraciones, etc.
- CobaltStrike descarga e instala Mimikatz para recopilar credenciales y obtener Privilegios administrativos.
- CobaltStrike es un producto de prueba de penetración (RedTeam) que permite a un atacante implementar un agente llamado 'Beacon' en la máquina víctima.
- El Beacon incluye una gran cantidad de funciones para el atacante, que incluyen ejecución de comandos, registro de claves, transferencia de archivos, proxy SOCKS, escalada de privilegios, Mimikatz, escaneo de puertos, movimientos laterales, etc.
- El Beacon se establece en memoria ya que consiste en un shellcode sin etapas o de múltiples etapas. Una vez cargado mediante la explotación de una vulnerabilidad, se cargará de forma reflectante en la memoria de un proceso sin tocar el disco.
- Es compatible con C2 y puesto en escena a través de HTTP, HTTPS, DNS, así como TCP directo e inverso.
- SystemBC es un Proxy-RAT capaz de efectuar movimientos laterales dentro de la organización, así como filtrar datos de manera sensilla, fue utilizado en los ransomware Egregor y Ryuk.
- SystemBC también proporciona capacidades de proxy, cifrando el tráfico entre el entorno de la víctima y el servidor de Comando y Control (C&C), utilizando la Red Tor para ocultar el servidor de comandos.
- La transferencia puede ser vía FTP, WebDAV o Dropbox para facilitar la filtración, que eventualmente termina en una infraestructura controlada por el atacante.
- RClone es una herramienta de línea de comandos de código abierto que administra y sincroniza archivos locales a un sitio remoto.
- Normalmente este software se asocia con la sincronización de datos en la nube, pero el usuario puede configurar cualquier destino, lo que lo hace útil para copiar datos de la víctima.
- Sharphound es una herramienta que perfila Active Directory. Puede descubrir y recopilar información detallada sobre políticas de grupo, dominios, usuarios, computadoras y más.
7.- Un script es descargado a través de CobaltStrike o SystemBC identifica y deshabilita varios sistemas y servicios de seguridad.
- El script también emite un comando vssadmin para eliminar copias instantáneas, por lo que evitar que la víctima utilice las funciones de recuperación para restaurar los datos.
9.- En algunos ataques, se utiliza BitsAdmin para distribuir el payload, BitsAdmin es una herramienta de línea de comandos de Microsoft que administra el Windows Background Intelligent Transfer Service (BITS).
- El servicio actúa a nivel del sistema para transferir datos de forma asincrónica. El atacante usa BitsAdmin para crear trabajos que transfieren y entregan el payload del ransomware a través de los sistemas en todo el entorno de red.
10.- Una vez que el atacante dispersa el payload en todos los sistemas, se ejecuta, cifra datos y distribuye la nota de rescate.
11.- En algunos ataques, la nota de rescate se imprime desde todas las impresoras dentro de la red y así también imprimen pequeñas notas de rescate en el recibo de facturación de los sistemas de punto de venta (PoS).
12.- El robo de datos es una nueva etapa para la exigencia de pago por el secuestro, ya que en los anteriores ataques de ransomware consistían en nada más la encriptación del dispositivo, ahora como parte de la evolución en los ataques, el malware buscan entre el sistemas las Shadows Copies y las elimina, así evitan que la víctima haga de alguna manera una restauración de datos en el sistema.
11.- En algunos ataques, la nota de rescate se imprime desde todas las impresoras dentro de la red y así también imprimen pequeñas notas de rescate en el recibo de facturación de los sistemas de punto de venta (PoS).
12.- El robo de datos es una nueva etapa para la exigencia de pago por el secuestro, ya que en los anteriores ataques de ransomware consistían en nada más la encriptación del dispositivo, ahora como parte de la evolución en los ataques, el malware buscan entre el sistemas las Shadows Copies y las elimina, así evitan que la víctima haga de alguna manera una restauración de datos en el sistema.
- Shadow Copy es una tecnología incluida en Microsoft Windows que puede crear copias de seguridad o instantáneas de archivos o volúmenes de computadora, incluso cuando están en uso.
RESCATE
En la etapa final del ataque, se extiende una nota en la pantalla y se muestra un archivo en el escritorio en donde especifica el procedimiento a seguir para obtener de regreso toda la información robada, eso si, procediendo a realizar un pago en criptomonedas que puede ser en Bitcoins o Monero... de no cumplir con las exigencias la información puede ser suprimida o filtrada al publico, según sea la naturaleza de la victima.
¿Cómo evitar ser víctima de una campaña de Ransomware?
La manera para evitar ser víctima de ransomware requieren un conocimiento en informática básico y amplio, ya que el usuario final es el objetivo más vulnerable que el sistema en sí, por eso se recomienda la implementación de protocolos de seguridad y capacitación especial al personal con acceso a internet y correos electrónicos con el objetivo de no ser víctimas de engaño (Phishing).
Las campañas de ransomware inician a través de un correo malicioso engañoso en el cual contiene un enlace malicioso o documento adjunto infectado, por lo cual la recomendación es :
- No abrir correos electrónicos desconocidos o no verificados
- No hacer click en enlaces no validados previamente
- No descargar ni abrir archivos de procedencia desconocida
- No revelar datos de acceso sensibles a personas no verificadas
- No ejecutar programas descargados de fuentes no verificadas o piratas
La manera para evitar ser víctima de ransomware requieren un conocimiento en informática básico y amplio, ya que el usuario final es el objetivo más vulnerable que el sistema en sí, por eso se recomienda la implementación de protocolos de seguridad y capacitación especial al personal con acceso a internet y correos electrónicos con el objetivo de no ser víctimas de engaño (Phishing).
Las campañas de ransomware inician a través de un correo malicioso engañoso en el cual contiene un enlace malicioso o documento adjunto infectado, por lo cual la recomendación es :
- No abrir correos electrónicos desconocidos o no verificados
- No hacer click en enlaces no validados previamente
- No descargar ni abrir archivos de procedencia desconocida
- No revelar datos de acceso sensibles a personas no verificadas
- No ejecutar programas descargados de fuentes no verificadas o piratas
- Constante capacitación sobre técnicas empleadas por ataques automatizados
En Nicaragua han habido casos frecuentes y muchos se quedan en silencio, sucede por no tener protocolos de seguridad y tampoco el conocimiento de lo que esta sucediendo en el momento del ataque y expansión del ransomware dentro de la red, tal final del dia terminan formateando los equipos y perdiendo la información que había almacenada en ellos, casos atendidos y conocidos por nosotros están:
- Librería Jardín
- Central Sandinista de Trabajadores
- John May Industrial
- Ópticas OM
- Otros Naturales y Jurídicos
Para los sistemas lo recomendable es:
- Mantener sistemas operativos actualizados
- Sistemas Antivirus Actualizados
- Deshabilitar servicios inactivos en el sistema
- Filtros para correo electrónico
- Actualización de software y otras características del sistema
- Segmentación de redes y sistemas en la organización
Para los usuarios:
- Capacitación constante sobre nuevas variantes de software malicioso
- Grupos de permisos limitados a las funcionalidades correspondientes de sus áreas
- Aplicación de contraseñas seguras
- Concientización sobre la importancia de la seguridad informática
- Verificación de archivos mediante app de análisis de malware
Para los datos:
- Respaldo regulares y separados de la red misma
- Protocolo de manejo y control de datos
- Monitoreo de actividades relacionadas con los datos
Existe mucha mas información de relevancia con respecto al ransomware y otros tipos de ataques automatizados, es por eso la importancia de establecer un marco de trabajo en las empresas y organizaciones en prevención, detección y mitigación de ataques de todo tipo, dentro y fuera de la red.
Facebook: @NCAIntelligence
Twitter: @NCAIntelligence
