Ransomware... ¿Cómo afecta a las compañías y organizaciones en Nicaragua?

Ransomware es un sofisticado software desarrollado por top tier hackers que tienen como objetivo el secuestro de datos en organizaciones y empresas para exigir un pago (en criptomonedas) por recuperar sus archivos.

Ransomware es una subcategoría de Malware y no es un simple virus de computadora, está desarrollado para la encriptación total de datos en los dispositivos infectados siendo ésta la última etapa en una cadena de sucesos que se desarrollan desde el primer vector de ataque, hoy en día existen ciber mafias organizadas que controlan botnets y distribuyen los ataques de manera automatizada y sincronizada con otros grupos hackers, a estos grupos se les dió el nombre... El Cartel del Ransomware (CDR).

El Cartel del Ransomware son diferentes grupos de hackers que operan variantes de ransomware, con similitud en sus vectores de ataque y con variantes en sus códigos de desarrollo.

Entre los tipos de ransomware que operan estas bandas incluyen Conti Ransomware, Ryuk Ransomware, Lockbit, SunCrypt, Maze, Egregor y Ragnar Locker Ransomware.

El Cartel del Ransomware utilizan botnets que automatizan sus ataques, todo iniciando con campañas de correo electrónico (phishing) que incluyen un archivo Word o Excel con un macro malicioso, siendo el principal vector de ataque el engaño al usuario final.

A continuación voy a explicar el paso a paso de los diferentes vectores de ataque de una campaña de ransomware de las que actualmente son víctimas miles de empresas y organizaciones a nivel mundial.

VECTORES DE ATAQUE

1.-    El atacante envía un correo electrónico con un documento adjunto (Word, Excel...) que contiene un código macro malicioso.

• El principal riesgo de los virus de macros es su capacidad para expandirse rápidamente, una vez se ejecuta un macro malicioso, se infecta el resto de documentos que hay en el equipo víctima.

• Algunos de estos códigos macros maliciosos acceden a las cuentas de correo electrónico y envían copias de los archivos infectados a todos los contactos del usuario, y por tener un grado alto de confianza, abriran el archivo sin saber que son víctimas de una expanción del ataque.

• A través de este código Macro, se busca invocar ataques de fuerza bruta para explotar vulnerabilidades en RDP, VPN, software de monitoreo IT, vulnerabilidades en servicios activos, malas configuraciones, etc.

2.-    Se ejecutan comandos en PowerShell que descargan y compilan CobalStrike en la maquina victima.

• CobaltStrike descarga e instala Mimikatz para recopilar credenciales y obtener Privilegios administrativos.

• CobaltStrike es un producto de prueba de penetración (RedTeam) que permite a un atacante implementar un agente llamado 'Beacon' en la máquina víctima.

• El Beacon incluye una gran cantidad de funciones para el atacante, que incluyen ejecución de comandos, registro de claves, transferencia de archivos, proxy SOCKS, escalada de privilegios, Mimikatz, escaneo de puertos, movimientos laterales, etc.

• El Beacon se establece en memoria ya que consiste en un shellcode sin etapas o de múltiples etapas. Una vez cargado mediante la explotación de una vulnerabilidad, se cargará de forma reflectante en la memoria de un proceso sin tocar el disco.

• Es compatible con C2 y puesto en escena a través de HTTP, HTTPS, DNS, así como TCP directo e inverso.

3.-    En casos más notables, se procede a instalar SystemBC y no Mimikatz, ya que a través de SystemBC se gestiona y ejecuta el resto del ataque.

• SystemBC es un Proxy-RAT capaz de efectuar movimientos laterales dentro de la organización, así como filtrar datos de manera sensilla, fue utilizado en los ransomware Egregor y Ryuk.

• SystemBC también proporciona capacidades de proxy, cifrando el tráfico entre el entorno de la víctima y el servidor de Comando y Control (C&C), utilizando la Red Tor para ocultar el servidor de comandos.

4.-    Se descarga RClone y se utiliza para copiar los datos de la víctima para luego ser filtrados.

• La transferencia puede ser vía FTP, WebDAV o Dropbox para facilitar la filtración, que eventualmente termina en una infraestructura controlada por el atacante.

• RClone es una herramienta de línea de comandos de código abierto que administra y sincroniza archivos locales a un sitio remoto.

• Normalmente este software se asocia con la sincronización de datos en la nube, pero el usuario puede configurar cualquier destino, lo que lo hace útil para copiar datos de la víctima.

5.-    El atacante utiliza Sharphound para enumerar e identificar los componentes o configuraciones incorrectas de Active Directory de Windows.

• Sharphound es una herramienta que perfila Active Directory. Puede descubrir y recopilar información detallada sobre políticas de grupo, dominios, usuarios, computadoras y más.

6.-    Usando sus nuevos privilegios administrativos junto con la información que se obtuvo del dominio de Active Directory de la víctima, el atacante utiliza las Políticas de Directivas en Grupos de Windows para deshabilitar Windows Defender

7.-    Un script es descargado a través de CobaltStrike o SystemBC identifica y deshabilita varios sistemas y servicios de seguridad.

• El script también emite un comando vssadmin para eliminar copias instantáneas, por lo que evitar que la víctima utilice las funciones de recuperación para restaurar los datos.

8.-    El atacante distribuye el payload (carga útil) del Ransomware por todo el entorno.

9.-    En algunos ataques, se utiliza BitsAdmin para distribuir el payload, BitsAdmin es una herramienta de línea de comandos de Microsoft que administra el Windows Background Intelligent Transfer Service (BITS).

• El servicio actúa a nivel del sistema para transferir datos de forma asincrónica. El atacante usa BitsAdmin para crear trabajos que transfieren y entregan el payload del ransomware a través de los sistemas en todo el entorno de red.

10.-    Una vez que el atacante dispersa el payload en todos los sistemas, se ejecuta, cifra datos y distribuye la nota de rescate.

11.-    En algunos ataques, la nota de rescate se imprime desde todas las impresoras dentro de la red y así también imprimen pequeñas notas de rescate en el recibo de facturación de los sistemas de punto de venta (PoS).

12.-    El robo de datos es una nueva etapa para la exigencia de pago por el secuestro, ya que en los anteriores ataques de ransomware consistían en nada más la encriptación del dispositivo, ahora como parte de la evolución en los ataques, el malware buscan entre el sistemas las Shadows Copies y las elimina, así evitan que la víctima haga de alguna manera una restauración de datos en el sistema.

• Shadow Copy es una tecnología incluida en Microsoft Windows que puede crear copias de seguridad o instantáneas de archivos o volúmenes de computadora, incluso cuando están en uso.

RESCATE

En la etapa final del ataque, se extiende una nota en la pantalla y se muestra un archivo en el escritorio en donde especifica el procedimiento a seguir para obtener de regreso toda la información robada, eso si, procediendo a realizar un pago en criptomonedas que puede ser en Bitcoins o Monero... de no cumplir con las exigencias la información puede ser suprimida o filtrada al publico, según sea la naturaleza de la victima.

¿Cómo evitar ser víctima de una campaña de Ransomware?

La manera para evitar ser víctima de ransomware requieren un conocimiento en informática básico y amplio, ya que el usuario final es el objetivo más vulnerable que el sistema en sí, por eso se recomienda la implementación de protocolos de seguridad y capacitación especial al personal con acceso a internet y correos electrónicos con el objetivo de no ser víctimas de engaño (Phishing).

Las campañas de ransomware inician a través de un correo malicioso engañoso en el cual contiene un enlace malicioso o documento adjunto infectado, por lo cual la recomendación es :
    - No abrir correos electrónicos desconocidos o no verificados
    - No hacer click en enlaces no validados previamente
    - No descargar ni abrir archivos de procedencia desconocida
    - No revelar datos de acceso sensibles a personas no verificadas
    - No ejecutar programas descargados de fuentes no verificadas o piratas

    - Constante capacitación sobre técnicas empleadas por ataques automatizados

En Nicaragua han habido casos frecuentes y muchos se quedan en silencio, sucede por no tener protocolos de seguridad y tampoco el conocimiento de lo que esta sucediendo en el momento del ataque y expansión del ransomware dentro de la red,  tal final del dia terminan formateando los equipos y perdiendo la información que había almacenada en ellos, casos atendidos y conocidos por nosotros están:

    - Librería Jardín

    - Central Sandinista de Trabajadores

    - John May Industrial

    - Ópticas OM

    - Otros Naturales y Jurídicos

Para los sistemas lo recomendable es:

    - Mantener sistemas operativos actualizados

    - Sistemas Antivirus Actualizados

    - Deshabilitar servicios inactivos en el sistema

    - Filtros para correo electrónico

    - Actualización de software y otras características del sistema

    - Segmentación de redes y sistemas en la organización

Para los usuarios:

    - Capacitación constante sobre nuevas variantes de software malicioso

    - Grupos de permisos limitados a las funcionalidades correspondientes de sus áreas

    - Aplicación de contraseñas seguras

    - Concientización sobre la importancia de la seguridad informática

    - Verificación de archivos mediante app de análisis de malware

Para los datos:

    - Respaldo regulares y separados de la red misma

    - Protocolo de manejo y control de datos

    - Monitoreo de actividades relacionadas con los datos

Existe mucha mas información de relevancia con respecto al ransomware y otros tipos de ataques automatizados, es por eso la importancia de establecer un marco de trabajo en las empresas y organizaciones en prevención, detección y mitigación de ataques de todo tipo, dentro y fuera de la red.

Facebook: @NCAIntelligence

Twitter: @NCAIntelligence

Kinder Montessori Las Colinas expone a internet la integridad de sus alumnos menores de edad!

El internet representa un lugar hostil para las personas que no tiene idea de lo que implica tener una conversación con un desconocido. A través de internet, en redes sociales, chats y otras plataformas, se han dado casos de violacion, secuestro, asesinato y todo por creer en una persona detrás de un perfil social, correo electrónico y otras tantas maneras de comunicarse por internet.

Los sistemas de video vigilancia representan un arma defensiva para empresas, organizaciones, instituciones, hogares y más, también tiene sus ventajas a la hora de hacer monitoreo externo, perfectamente podrías tener acceso a las cámaras desde cualquier parte del mundo, pero no tomar las medidas de seguridad necesarias podrían hacer de esto un problema serio para cualquier ente...

Leer: Sistemas de videovigilancia... ¿Quién vigila a quién?

El objetivo de un sistema de video vigilancia es monitorear de manera permanente espacios de interés para dejar en evidencia tangible sucesos e incidencias que puedan quedar registradas en video.

Con bemburn determinamos que en Nicaragua para el año 2021 existían +10 mil servicios de video expuestos a internet, así también servidores de correo, bases de datos y web, sistemas de monitoreo de redes, servicios de streaming y por supuesto sistemas de video vigilancia.

Leer: Bemburn, el ojo que todo lo ve en la internet de Nicaragua

Kinder Montessori Las Colinas (KMLC)

Kinder Montessori Las Colinas es es un centro educativo bilingüe a nivel preescolar, cuyo propósito es... Lograr la excelencia académica mediante la implementación de la metodología montessori.

En su sitio web hay un acceso al sistema de video vigilancia de todo el centro escolar, con el usuario y la clave correcta se puede tener acceso a las cámaras de video vigilancia de todas las instalaciones.

Durante el reconocimiento de los servicios conectados a internet con Bemburn Machine, encontramos una serie de sistemas de video vigilancia expuestos pertenecientes a Kinder Montessori Las Colinas, estas cámaras están sin protección alguna y disponible para ser vistos desde cualquier parte del mundo con acceso a internet nada mas con la dirección IPv4 correspondiente a cada cámara, lo que nos llamó profundamente la atención es el acceso libre que deja expuesta la integridad y seguridad de los alumnos menores de edad, del personal y del centro educativo en sí.

A raíz de un escándalo por abuso infantil en el Jardin Infantil Maria Montessori en Managua, el Kinder Montessori Las Colinas por medio de sus propietarios y directores se desvincularon del primero y señalaron que nada mas compartian el método de enseñanza Montessori, todo esto en una entrevista realizada por Jonathan Castro del canal 100% Noticias en marzo del año 2015.

Lo interesante de la entrevista es que la Directora Claudia Celedón manifiesta textualmente:

“Usted como padre de familia puede saber que está pasando con su hijo en el aula de clase, nosotros le entregamos a los padres una contraseña con la que pueden ingresar en línea a nuestra página web, y desde ahí acceden a nuestro circuito de vigilancia”

Queda demostrado que se puede acceder al circuito de vigilancia de KMLC sin ningún tipo de contraseña o usuario que como método de seguridad resguarde el centro, sus maestros y en especial sus alumnos menores de edad y aun peor, queda demostrado el poco interés a la seguridad informatica por parte ellos. 

Kinder Montessori Las Colinas tenia conocimiento desde el 2019...

Cabe hacer mención que este problema de Kinder Montessori Las Colinas no es algo reciente. En Julio del año 2019, reportamos al centro educativo la gran problemática en la que se encuentran, pero recibimos amenazas de demanda por parte de la directora Celedón, hecho expuesto en una nota aclaratoria por parte de NCA Intelligence el 23 de julio de ese periodo.

En el momento en el que reportamos esta vulnerabilidad; reporte hecho principalmente, por nuestra preocupación por los niños y niñas expuestos en video, solo estaba en vigencia la Ley de Protección de Datos, ahora con la llegada de la Ley Especial de Ciberdelitos lo que ocurre es que el Estado sanciona a través de la aplicación de ésta la exposición de datos e información. Pues, el arto. 1 señala como su objetivo "la prevención, investigación, persecución y sanción de los delitos cometidos por medio de las Tecnologías de la Información y la Comunicación, en perjuicio de personas naturales o jurídicas, así como la protección integral de los sistemas que utilicen dichas tecnologías, su contenido y cualquiera de sus componentes".  Así mismo, hace énfasis en la obligación de respetar la integridad de menores de edad, y la exposición de la información.

En el Capítulo V hace mención a los Delitos Informáticos Relacionados con la Libertad e Integridad Sexual y al respecto señala;

Artículo 31 Utilización de niñas, niños, adolescentes o personas con discapacidad necesitada de especial protección, en pornografía a través del uso de las Tecnologías de la Información y la Comunicación 

Quien, por medio del uso de las Tecnologías de la Información y la Comunicación, induzca, facilite, promueva, utilice, abuse o explote con fines sexuales o eróticos a niñas, niños, adolescentes o personas con discapacidad necesitada de especial protección, haciéndola presenciar o participar en un comportamiento, espectáculo o acto sexual público o privado, se le impondrá pena de cinco a ocho años de prisión y trescientos a seiscientos días multa.

Como había mencionado, al momento del reporte de esta sensible vulnerabilidad, no existencia legislación que directamente penalizara el mal o inadecuado manejo de los datos y la privacidad de usuarios. 

La ley de protección de datos y ley especial de ciberdelitos en vigencia en Nicaragua contiene artículos especiales que garantizan la protección de infantes ante este tipo de hechos que demuestran la falta de interés por parte de empresas y organizaciones en sus redes y sistemas informáticos.

@NCAIntelligence