Actualización de actividad de Ransomware en Chile y el mundo

No cabe duda que el ransomware ha sido y será (por ahora), la mayor amenaza que asedia a las organizaciones y particulares, desde su aparición “oficial” en 2013, evolucionando cada vez para mejorar sus capacidades de compromiso y cifrado.

El año 2022 los operadores de este malware comenzaron con mucho “ruido”, lanzando campañas en todo el mundo, con un claro foco de obtención de beneficio económico, sin embargo, ataques relacionados a destrucción de archivos en el escenario de la guerra entre Rusia y Ucrania, dieron un nuevo impulso al negocio del RaaS, al implementar una nueva “variante” que busca extorsionar sus víctimas, por medio de la destrucción de sus archivos. 

Aunque la cantidad de ataques de ransomware informados se mantuvo estable durante abril, el grupo de ransomware Conti estuvo vinculado a al menos 50 incidentes en abril, incluido un ataque devastador contra agencias gubernamentales de Costa Rica. 

El ataque provocó que el recién asumido presidente del país declarara el estado de emergencia, y el Departamento de Estado de EE. UU. ofrece una recompensa multimillonaria por información que conduzca a la identificación o arresto de miembros de Conti.

Un análisis respecto a este comportamiento y otras amenazas, se encuentra disponible en el “Panorama de Amenazas: Primer Trimestre 2022”.

Tendencias respecto a ataques de ransomware

Diferentes estudios han revelado un entorno de ataque cada vez más desafiante junto con la creciente carga financiera y operativa que el ransomware impone a sus víctimas. El ransomware continúa siendo una amenaza frecuente para casi todas las industrias modernas después de un renacimiento repentino al comienzo de la pandemia de COVID-19, ya que los actores de amenazas buscaron capitalizar a las organizaciones abrumadas y sus empleados repentinamente vulnerables.

Tendencia de ataques de ransomware por mes

Los hallazgos sugieren que es posible que se haya alcanzado un punto máximo en el viaje evolutivo del ransomware, donde la codicia de los atacantes por pagos de rescate cada vez mayores choca de frente con un endurecimiento del mercado de seguros cibernéticos a medida que las aseguradoras buscan cada vez más reducir su riesgo y exposición al ransomware.

Evolución del Ransomware

Como se menciona en el “Panorama de amenazas Q1 2022”, el ransomware ha evolucionado de acuerdo a la siguiente actualización de características:

• v1.0 Proliferación de ransomware por la aparición de las criptomonedas. Los respaldos diarios fueron la solución de todos los problemas.
   
• v1.5 Aparece el Ransomware-as-a-Service (RaaS). los ciber actores detrás de ransomware entienden que sus productos pueden ser comercializados en mercados negros, dando inicio a la era del comercio de ransomware como servicio.
   
• v2.0 Nace una nueva técnica, con ello los ciberdelincuentes tienen mayores probabilidades de asegurar el pago de los rescates por parte de sus víctimas. La exfiltración y posterior extorsión es rápidamente adoptada por la mayoría de las nuevas variantes.
   
• v2.5 La extorsión va más allá de las víctimas, los ciber delincuentes buscan en los datos robados, información personal de individuos que tengan relación con las víctimas (clientes, proveedores o colaboradores). En caso de encontrar algo comprometedor, envían correos electrónicos evidenciando que han capturado datos personales por falta de seguridad de la organización comprometida. Con esto buscan asegurar aún más el pago de los rescates.
   
• v3.0 El Ransomware es acompañado de una denegación de servicio distribuida (DDoS), los servicios expuestos a Internet de las víctimas no estarán disponibles hasta que se pague el rescate de los datos. Durante los últimos meses, este tipo de comportamiento se ha evidenciado de forma esporádica.
   
• v3.5 Portales de Ransomware son privados, no hay acceso público. Durante 2021 evidenciamos grupos de ransomware como Hydra y Haron, quienes pese a ser ransomwares emergentes, se han mantenido en el anonimato debido a la dificultad que supone obtener información de ellos, ya que sus portales cuentan con una capa de autenticación que priva a equipos de seguridad su acceso rápido y por lo mismo, tienen menor impacto mediático en la comunidad.
   
• v4.0 Ransomware se utiliza como un arma a base de código contra gobiernos e infraestructura crítica, cambiando radicalmente su motivación financiera a una motivación política-militar totalmente disruptiva. Su evolución apunta a la destrucción de sus objetivos, sin interés en beneficio económico. Hecho evidenciado en 2022 principalmente en la guerra Ruso-Ucraniana.

Anatomía general de un ataque por Ransomware

En los últimos años, se ha vuelto cada vez más fácil para los ciberdelincuentes implementar ransomware, con casi todo disponible como servicio (RaaS), lo que definitivamente facilita que cualquier grupo de delincuentes con intenciones de entrar en el “negocio”, pueda concretarlo con el mínimo de esfuerzo e inversión.

Presencia en Chile y LATAM

Cabe destacar, que a medida que el modelo de negocio RaaS evoluciona, los objetivos de este también se expanden y buscan operar ampliamente en diferentes regiones del planeta, intentando mantener sigilosidad previa al despliegue de un ataque.

Variantes de Ransomware con mayor actividad

En este aspecto, durante la primera parte del año 2022, se ha evidenciado actividad de múltiples operadores de ransomware, destacando aquellos que han tenido objetivos en Chile, Perú y Costa Rica.

Ransom Conti en LATAM

De igual manera, se ha observado otras variantes de ransomware operando en Chile y otros países de LATAM, principalmente el ransomware Hive, cuyos últimos indicios lo vinculan a los operadores de Conti y Black Basta, poniendo en escena un nuevo panorama de operaciones que podrían observarse en un futuro cercano.

Los grupos de ransomware con presencia evidenciada en Chile en el último período, corresponden a:

• Conti
• Hive
• Avoslocker
• CryTox

El retorno de REvil

Este grupo se posicionó como una de las amenazas más peligrosas, hasta el cese de sus operaciones luego del ataque a Kaseya en 2021 y el posterior arresto de los integrantes del grupo, llevado a cabo en Rusia durante enero de 2022.

Sitio de leaks REvil

Sin embargo, durante las últimas semanas de abril y principios de mayo de 2022, investigadores observaron que el sitio onion del grupo, que había estado inactivo desde las operaciones contra Kaseya en 2021, nuevamente había sido reactivado, presentando nuevas víctimas.

DeadBolt Ransomware atacando dispositivos NAS

Este ransomware fue evidenciado en ataques que comenzaron el 25 de enero de 2022, cuando los dispositivos de QNAP se encontraron con sus archivos cifrados y a los nombres de los archivos se les agregó la extensión .deadbolt.   

Una de las diferencias detectadas respecto a las notas de rescate de otros ransomware es que, en lugar de mostrar una nota de rescate en cada carpeta de estos dispositivos, este secuestra la página de inicio de sesión del dispositivo QNAP para mostrar una pantalla que dice “WARNING: Your files have been locked by DeadBolt”.

Nota de rescate DeadBolt

Sus actividades habían bajado durante los meses posteriores a enero de 2022, sin embargo, durante el mes de mayo, nuevamente se evidenció un aumento en ataques contra equipos del fabricante taiwanés QNAP.

La empresa pidió a los usuarios que actualicen sus dispositivos NAS a la última versión del software y se aseguren de que no estén expuestos al acceso remoto a través de Internet.

Aparición de BlackBasta

Black Basta se observó por primera vez a mediados de abril de 2022, pero ya había causado daños sustanciales a más de diez organizaciones, las que se dieron a conocer públicamente después que el grupo anunciara la filtración de datos de la Asociación Dental Estadounidense, de la cual se expusieron 2,9 GB de datos. 

Nota de compromiso por Black Basta

Los ciberdelincuentes utilizan este ransomware para cifrar los  archivos en sistemas comprometidos, agregando la extensión .basta y como muchos otros grupos de ransomware, roban grandes cantidades de información de las víctimas en un esfuerzo por aumentar sus posibilidades de que les paguen.

Onyx Ransomware entra en escena

Observado a fines del mes de abril, este pseudo ransomware elimina grandes archivos para impedir que se descifren incluso después de que la víctima pague el rescate.

Nota rescate Onyx Ransomware

Lo que hace Onyx, igual que otras muchas operaciones de ransomware, es robar datos de una red y posteriormente cifrar los dispositivos. Una vez hecho esto, hacen uso de una estrategia que está en aumento: la doble extorsión. Básicamente significa que cifran los archivos, pero también amenazan con hacerlos públicos.

Sin embargo, la característica principal de Onyx radica en que cualquier archivo de más de 2 MB, que es bastante común en las empresas, simplemente se destruye, ya que a diferencia de otras familias de ransomware, no puede recuperar documentos con una clave de descifrado.

Ransomware “GoodWill” apoyando la caridad

El ransomware GoodWill obliga a sus víctimas a donar a los pobres y ayudar a los necesitados en una forma inusual de hacktivismo al estilo de “Robin Hood”, según un informe de la empresa de ciberseguridad CloudSEK .

El ransomware, identificado por primera vez en marzo, cifra documentos, fotos, vídeos, bases de datos y otros archivos importantes y los hace inaccesibles sin la clave de descifrado.

Nota de GoodWill Ransomware

Los hackers exigen a las víctimas que realicen tres actividades benéficas para recibir la clave de descifrado:

• La primera actividad requiere que las víctimas donen ropa nueva a las personas sin hogar.
• La segunda actividad requiere que lleven a cinco niños menos afortunados a un restaurante para que reciban un regalo.
• La tercera actividad requiere que proporcionen ayuda financiera a cualquier persona que necesite atención médica urgente pero que no pueda pagarla.

Las víctimas deben grabar cada actividad y subirla a las redes sociales con un marco fotográfico y un pie de foto proporcionados por los hackers.

Dado lo que se ha observado en el último tiempo, es de esperar que el direccionamiento continúe hacia LATAM, siendo altamente esperable afectación en países con industrias de mayor envergadura en la zona como México, Brasil, Colombia, Argentina y Chile, por lo que es importante mantener sistemas y protocolos de seguridad que comprendan de forma adecuada la prevención como la respuesta ante incidentes.

La posible “migración” de Conti hacia grupos mucho más pequeños y con un objetivo específico, anuncia una nueva etapa de comportamiento en las actividades de estos grupos, los que sin duda se mueven a la par de la evolución natural de cualquier negocio.

Por lo tanto, en un futuro cercano, se observarán nuevos ataques de grupos u operadores “nuevos” con una tendencia al aumento, dirigidos principalmente a organizaciones cuyo compromiso pueda causar un impacto crítico en varios niveles.

De igual forma, las operaciones contra gobiernos con la clara “fachada” de un interés económico por parte de los atacantes, seguirá en curso, por cuanto es evidente que el beneficio de la obtención de información crítica de gobiernos es una ventaja contundente para el adversario que se beneficia de esta.

El aumento de las actividades recientemente observadas, sumado a la expertiz que los atacantes han podido adquirir en este último tiempo, entrega un panorama mucho más claro de los objetivos trazados por los grupos de amenaza, ya que es evidente que las operaciones seguirán en aumento y combinarán diferentes técnicas para la consolidación de sus ataques.

Mencionar igualmente que diferentes vulnerabilidades han sido explotadas indiscriminadamente durante los últimos meses para lograr el acceso a sistemas y desplegar ransomware, lo que indica que aun conociendo la gravedad de estas brechas, muchas organizaciones no proceden a una estricta vigilancia respecto a gestión de actualizaciones y la securización de aquellos sistemas que, siendo críticos para la operación de la organización, requieren una atención inmediata en cuanto a sus actualizaciones.

Un alto porcentaje de los dispositivos presentes en Chile que aún son vulnerables y que están propensos a este tipo de ataques, son de fácil descubrimiento por medio de herramientas que no requieren una expertiz técnica para su uso, lo cual aumenta la criticidad y la urgencia de atención a los sistemas involucrados. 

Finalmente, la indicación de proteger estos activos es proceder a la actualización inmediata, de acuerdo a la recomendación de cada fabricante y siguiendo los lineamientos internos propuestos para tal caso, así como tener como base las recomendaciones entregadas en este boletín.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
• Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
• Validar que todos los accesos remotos a la red de su organización cuentan con “Multi factor de autenticación” (MFA) - recordando que US-CISA agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas" (https://www.cisa.gov/uscert/ncas/current-activity/2021/08/30/cisa-adds-single-factor-authentication-list-bad-practices)
• Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
• Realizar Backup (respaldo) de todos los sistemas que posea dentro de su organización.
• Bajo ningún motivo almacenar los Backup dentro del mismo servidor, equipo o red local.
• Comprobar que las copias de seguridad y los mecanismos de restauración funcionan.
• Asegúrese de que los productos integrados existentes de filtrado y detección, están habilitados y operando de manera correcta.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
• Habilitar la autenticación de nivel de red (NLA).
• Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
  • Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
  • Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365. 
  • No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas (https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout).
  • Considere usar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell usadas para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles filtraciones.
• Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
•  Implemente políticas de acceso restrictivo, según las necesidades de su organización.
• Establezca una línea de base (Baseline) para la actividad normal de la red dentro de su entorno.
• Revise periódicamente los registros de inicio de sesión de Active Directory (AD) y los registros de auditoría unificados para detectar actividades anómalas.
• Implemente Multi Factor de Autenticación (MFA) para todos los usuarios, sin excepción.
• Hacer cumplir el uso del Multi Factor de Autenticación (MFA).
• Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
• Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
• Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
• Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
• Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
• Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
• Audite las reglas de correo electrónico con alertas exigibles a través del Centro de seguridad y cumplimiento u otras herramientas que usan Graph API para advertir a los administradores sobre actividades anormales.
• El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
• Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
• Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.
• Centrarse en la concientización y la formación. Informe a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
• Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.