Guerra Rusia-Ucrania: desde el uso de malware del tipo “Wiper” hasta ingeniería social

Bajo la actual escalada de acciones, que ha llevado en poco tiempo a convertirse en una guerra sin precedentes en el actual 2022 de Europa del este, es que han resurgido amenazas que habían quedado un tanto olvidadas o habían sido desplazadas por otros Malware más sofisticados, nos referimos específicamente a las herramientas “Wiper”, las cuales están tomando un mayor protagonismo en este campo de acción, ya que su principal objetivo es destruir infraestructuras, sistemas, archivos o similar.

Nuestro país no debe sentirse al margen de este tipo de ataques, ya que es probable que se masifique el uso de estas herramientas por parte de los ciberactores presentes en el territorio Nacional.

Uso de malware destructivo: tendencia que entra con fuerza

Desde el punto más básico que se debe considerar en un ataque que incluya piezas complejas de malware, hasta la consolidación del objetivo/víctima, no deja de llamar la atención la “facilidad” que supone el uso de estos artefactos al momento de desplegarlos contra un sistema, toda vez que en muchas ocasiones, no es necesario poseer conocimientos en ciberseguridad para el uso de estas “herramientas”

La utilización de malware destructivo del tipo “Wiper”, no es nueva y se remonta a otros ataques observados en 2012, donde grandes corporaciones han sufrido compromiso de sus datos, sin la intención de pedir un rescate por la recuperación de estos.

¿Qué son los ataques de Wiper Malware?

Un ataque con un malware de tipo Wiper, implica borrar/sobrescribir/eliminar datos de la víctima (como ya se había mencionado anteriormente). A diferencia de los ataques típicos con ransomware (u otro malware), que tienden a ser para obtener ganancias monetarias, los ataques con “wipers” son destructivos por naturaleza y, a menudo, no implican un rescate. El malware de este tipo, a menudo, se usa para causar daño y perjuicio, como también para cubrir las huellas de un robo de datos por separado.

Operaciones que han incluído ataques con Wiper Malware

Lo más reciente conocido en este punto, ha transcurrido durante enero de 2022, donde se reportó que varias organizaciones ucranianas habrían sido víctimas de ataques con un malware que “borraba” los archivos del equipo víctima, el que además buscaba corromper la unidad de almacenamiento, haciendo imposible su restauración y por consiguiente, la recuperación de los datos comprometidos.

Como es ya de amplio conocimiento en el conflicto ruso - ucraniano, previo a las movilizaciones militares, a mediados de enero de 2022, se acusó a Bielorrusia de atacar entidades del gobierno con un malware “simulando ser un ransomware”, que más tarde fué conocido como WhisperGate. Este ataque, lejos de buscar “infundir miedo” en sus víctimas, se caracterizó por dejar inoperativos cientos de equipos, de los que fué imposible recuperar información luego de la infección.

Fuente: https://medium.com

Unas semanas más tarde, durante el día 23 de febrero (posterior a los importante ataques DDoS llevados a cabo contra Ucrania), un equipo de investigación de ESET informó sobre la existencia de un nuevo malware con similares características al ransomware NotPetya, quienes comparten, entre otras características, ataques a infraestructura crítica en Ucrania y cifrado/borrado de archivos si solicitar un rescate.

Con el paso de las horas, diferentes investigaciones develarían que las características de este malware compartían técnicas y comportamiento muy similares a WhisperGate, anunciando de esta forma el descubrimiento de un nuevo wiper malware, al que se menciona como HermeticWiper.

Fuente: @fr0gger_   Thomas Roccia

Ambas piezas de malware, con un objetivo totalmente disruptivo y con la intención evidente de provocar daño, afectando la integridad y disponibilidad de la información.

Wiper Malware a través de los años:

• 2012: ataque a industria TI en Europa, partes del wiper malware hacen referencia a Flame.
• 2012: APT33 lanza ataque con el malware Shamoon, que es empleado para ataques contra empresas saudíes.
• 2013: Lazarus Group ataca agencias del gobierno de Corea del Sur.
• 2014: nuevo ataque de Lazarus Group a Sony Pictures, utilizando el malware RawDisk.
• 2016: ataque con el malware RawDisk contra empresas saudíes.
• 2017: ataque a diferentes organizaciones en Europa, con el ransomware destructivo NotPetya.
• 2018: ataque al Banco de Chile con el wiper malware “MBR Killer”.
• 2019: APT33 usa el wiper malware ZeroCleare en ataques contra empresas de medio oriente.
• 2022: ataques contra organizaciones gubernamentales ucranianas, lanzadas desde Bielorrusia y Rusia, con los wiper malware WhisperGate y HermeticWiper.

Principales grupos de actores relacionados con el uso de estos Malware

Gamaredon
Este grupo de ciberactores es un grupo de amenazas que ha estado activo desde al menos el año 2013 con una campaña de phishing dirigido (Spear Phishing) contra funcionarios del gobierno ucraniano. Es un grupo cuya motivación es el espionaje cibernético, se estima que es respaldado y apoyado por el gobierno ruso, dentro de sus objetivos principales está el atacar las instituciones militares y de seguridad de Ucrania.

A finales de enero de 2022, se informó que el grupo realizó operaciones continuas de ciberespionaje contra objetivos ucranianos desde el 14 de julio de 2021 hasta el 18 de agosto de 2021. Las organizaciones se infectaron inicialmente a través de un documento de Word malicioso enviado en un correo electrónico de phishing. Una vez abierto, se ha observado que el documento activa un comando sospechoso que inicia un archivo VBS malicioso llamado 'depended.lnk', un Backdoor (puerta trasera) personalizada del grupo. Este último se ha implementado junto con la ejecución de scripts VBS y la creación de tareas programadas.

Ghostwriter

Actor malicioso también conocido como “UNC1151” cuya evidencia sugiere que su origen corresponde a Bielorrusia. Llevó a cabo operaciones de espionaje y robo de información contra el gobierno ucraniano, además de comprometer y dejar inoperativos cientos de equipos con el malware destructivo WhisperGate, el pasado mes de enero de 2022.

APT 33

Grupo iraní que se ha enfocado en organizaciones que abarcan múltiples industrias, con sede en los Estados Unidos, Arabia Saudita y Corea del Sur, mostrando un interés particular en las organizaciones del sector de la aviación involucradas tanto en capacidades militares como comerciales, así como en organizaciones del sector energético vinculadas a la producción petroquímica.

Desde mediados de 2016 hasta principios de 2017, APT33 comprometió a una organización estadounidense en el sector aeroespacial y apuntó a un conglomerado empresarial ubicado en Arabia Saudita con participaciones en la aviación.

Durante el mismo período, también apuntó a una empresa de Corea del Sur involucrada en la refinación de petróleo y la petroquímica. Más recientemente, en mayo de 2017, APT33 pareció apuntar a una organización saudí y un conglomerado empresarial de Corea del Sur utilizando un archivo malicioso que intentaba atraer a las víctimas con puestos vacantes para una empresa petroquímica de Arabia Saudita.

Lazarus Group

Grupo patrocinado por el gobierno de Corea del Norte, quienes desde sus primeros ataques que involucraron operaciones DDoS contra varias organizaciones en diferentes industrias, el grupo ha logrado operar con alto grado de sigilosidad. Dos de las campañas más notables del grupo incluyen el hackeo de Sony de 2014 , que involucró información confidencial de la empresa y personal, y el ataque al banco de Bangladesh de 2016 que robó millones de dólares de la institución financiera . 

El grupo Lazarus ha tenido múltiples operaciones a lo largo de los años, la mayoría de las cuales involucran interrupción, sabotaje, robo financiero o espionaje. La organización también tiene grupos "derivados", que se enfocan en tipos específicos de ataques y objetivos, que van desde el robo de información hasta el uso de malware con fines destructivos.

Ucrania pide apoyo: escenario perfecto para ingeniería social 

En el marco de la situación actual entre Rusia y Ucrania, diferentes medios de comunicación informaron que, posterior a la ofensiva llevada a cabo por Rusia contra Ucrania el día 24 de febrero, fuentes organizadas del país atacado hicieron un llamado para apoyar su defensa, solicitando cooperación internacional, además del reclutamiento de expertos en ciberseguridad y hackers.

Fuente: Reuters News

Seguidamente a este llamado, algunos medios reportaron una masiva campaña de phishing contra ciudadanos ucranianos, durante la mañana del 25 de febrero.

Fuentes de información sugieren que esta acción es claramente una forma de comprometer dispositivos personales, con el fin de robo de información, secuestro de equipos e incluso, causar pánico en la población.

En la vista estratégica de esta campaña, se cree que podría ser una forma para reclutar nuevos bots (equipos zombies), para llevar a cabo una nueva fase de ataques contra Ucrania, desde dentro de la nación.

Y como era de esperarse, ciberactores han aprovechado esta instancia para crear falsos sitios de donativos y ayudas para la población afectada por la situación bélica vivida en Ucrania.

Apreciación

Habiendo observado el uso de los artefactos analizados en diferentes operaciones, es preciso señalar que el interés de estos grupos no apunta netamente a “negociar”, por cuanto se debe tener en cuenta que sus actividades buscan netamente el causar daño irrecuperable.

Es claro que las futuras operaciones se centren principalmente en los sectores de  gobierno, energía y banca, dado que las diferentes campañas llevadas a cabo en Chile durante el año 2018, sugieren claramente que luego de cumplir el objetivo final del ataque, cubrir los rastros o huellas es imprescindible y debe llevarse a cabo por medio de la destrucción de todo aquello que podría usarse como evidencia, ya que normalmente los ciberactores de amenaza orientan sus esfuerzos a mantenerse en el anonimato y clandestinidad, nuevamente apelando a la gran problemática de atribución.

Finalmente, la certeza de que en el futuro próximo nuevamente se observen ataques destructivos relacionados a estos grupos, es aún más clara, por cuanto el país ha visto como grandes actores maliciosos “prueban terreno” en la infraestructura nacional, poniendo en evidencia diferentes sucesos relacionados a grandes ataques con resultados muy negativos, lo que nuevamente pone en alerta a los sectores que pudiesen ser el objetivo de posibles operaciones que silenciosamente, se vienen orquestando desde la anonimidad.

Por lo tanto, es preciso señalar que dada las circunstancias actuales ya conocidas por diferentes medios, hay una clara señal de las nuevas técnicas y herramientas que serán empleadas para obligar a las organizaciones comprometidas a someterse a extorsiones o simplemente, la pérdida total de sus datos, lo cual sugiere nuevamente prepararse para un cambiante escenario hostil que está por tocar (nuevamente) territorio chileno.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
• Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
• Validar que todos los accesos remotos a la red de su organización cuentan con “Multi factor de autenticación” (MFA) - recordando que US-CISA agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas" (https://www.cisa.gov/uscert/ncas/current-activity/2021/08/30/cisa-adds-single-factor-authentication-list-bad-practices)
• Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
• Realizar Backup (respaldo) de todos los sistemas que posea dentro de su organización.
• Bajo ningún motivo almacenar los Backup dentro del mismo servidor, equipo o red local.
• Comprobar que las copias de seguridad y los mecanismos de restauración funcionan.
• Asegúrese de que los productos integrados existentes de filtrado y detección, están habilitados y operando de manera correcta.
• Si su organización opera o interactúa con organizaciones de Ucrania, tenga especial cuidado de monitorear, inspeccionar y aislar el tráfico de esas organizaciones; revisar en detalle los controles de acceso para ese tráfico en específico.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
  • Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
  • Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365. 
  • No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas (https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout).
  • Considere usar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell usadas para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles filtraciones.
• Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
  •  Implemente políticas de acceso restrictivo, según las necesidades de su organización.
  • Establezca una línea de base (Baseline) para la actividad normal de la red dentro de su entorno.
  • Revise periódicamente los registros de inicio de sesión de Active Directory (AD) y los registros de auditoría unificados para detectar actividades anómalas.
  • Implemente Multi Factor de Autenticación (MFA) para todos los usuarios, sin excepción.
  • Hacer cumplir el uso del Multi Factor de Autenticación (MFA).
  • Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
  • Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
  • Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
  • Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
  • Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
  • Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
  • Audite las reglas de correo electrónico con alertas exigibles a través del Centro de seguridad y cumplimiento u otras herramientas que usan Graph API para advertir a los administradores sobre actividades anormales.
  • El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
  • Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
  • Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.
• Centrarse en la concientización y la formación. Informe a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
• Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.