BlackCat compromete distribuidora de gas natural en Europa

Durante la última semana de julio de 2022, se observó una fuerte actividad de amenazas relacionadas a operaciones de ransomware, destacando por sobre todo, la evolución de capacidades que algunos grupos de actores maliciosos experimentaron para lograr alcanzar sus objetivos.

De acuerdo con lo anterior, algunos acontecimientos clave de este proceso han sido:

• Evolución de amenazas de Ransomware y la proliferación de nuevos operadores y afiliados.
• Adaptación de nuevas técnicas y procedimientos de ataque y de acceso inicial.
• La presencia de agresivas campañas de malspam distribuyendo “loaders” con carga útil de ransomware, tanto Europa como en Chile y LATAM.

Operación de BlackCat ransomware en el mundo
Fuente: Trellix
 

De esta forma, destacada participación ha tenido el grupo BlackCat / ALPHV, el que en su constante búsqueda de mejora, ha evolucionado adaptándose a las “necesidades” del negocio de extorsión, sumando cada vez más víctimas a su lista y aumentando su peligrosidad con el paso de los días.

BlackCat / ALPHV

Los creadores del ransomware BlackCat ofrecen sus servicios bajo la estrategia ransomware como servicio (RaaS por sus siglas en inglés).

En otras palabras, brindan a otros atacantes acceso a su infraestructura y código malicioso y, a cambio, obtienen una parte del rescate. Además, probablemente los miembros de este grupo también sean responsables de las negociaciones con las víctimas. Por lo tanto, lo único que tendría que hacer su “franquiciado” por sí mismo es acceder al entorno corporativo. Este principio de “tenemos todo bajo control” es la razón por la que BlackCat ha ganado impulso tan rápidamente: su malware ya se usa para atacar a empresas de todo el mundo.

Consola de operación para MS Windows de BlackCat
Fuente: El Hacker.net

El arsenal de BlackCat consta de varios elementos. El primero es el cifrador del mismo nombre que está escrito en lenguaje Rust, gracias al cual los atacantes lograron crear una herramienta multiplataforma con versiones del malware que funcionan tanto en entornos Windows como Linux.

En segundo lugar, está la utilidad Fendr, que se utiliza para extraer datos de la infraestructura infectada. El uso de esta herramienta sugiere que BlackCat pueda ser simplemente un cambio de imagen de BlackMatter: el único grupo conocido que usaba esta herramienta, también conocido como ExMatter.

BlackCat también utiliza la herramienta PsExec para el movimiento lateral en la red de la víctima; Mimikatz, el conocido software de los ciberdelincuentes, y el software Nirsoft para extraer contraseñas de red.

Ataque a Creos Luxembourg

El día 30 de julio, el grupo se atribuyó la responsabilidad de un ataque contra Creos Luxembourg SA., un operador de red de gas natural y electricidad en el país centroeuropeo, indicando que el incidente se habría concretado el fin de semana anterior, entre el 22 y el 23 de julio.

Si bien el ciberataque provocó que los portales de clientes de Encevo y Creos no estuvieran disponibles, no hubo interrupción en los servicios prestados.

Publicación de víctima en portal del grupo de ransomware BalckCat

El 28 de julio, la empresa publicó una actualización  sobre el ciberataque, y los resultados iniciales de su investigación indicaban que los intrusos de la red habían extraído "una cierta cantidad de datos" de los sistemas a los que accedieron.

En ese momento, Encevo no estaba en condiciones de estimar el alcance del impacto y pidió amablemente a los clientes que tuvieran paciencia hasta que concluyeran las investigaciones, momento en el que todos recibirían un aviso personalizado.

Dado que no se han publicado más actualizaciones en el portal de medios de Encevo, es probable que este procedimiento aún esté en curso. Encevo dice que cuando haya más información disponible, se publicará en una página web dedicada al ciberataque .

Nota de rescate publicada por BlackCat

Por ahora, se recomienda a todos los clientes que restablezcan las credenciales de su cuenta en línea, que usaron para interactuar con los servicios de Encevo y Creos. Además, si esas contraseñas son las mismas en otros sitios, los clientes también deben cambiar sus contraseñas en esos sitios.

BlackCat y su relación con otras operaciones contra plantas de energía

El grupo de ransomware ALPHV/BlackCat agregó Creos a su sitio de extorsión el sábado pasado y amenazó con publicar 180 000 archivos robados con un tamaño total de 150 GB, incluidos contratos, acuerdos, pasaportes, facturas y correos electrónicos.

Si bien BlackCat continúa innovando en la extorsión de datos, parece que nunca aprenden de sus errores y continúan apuntando a empresas de alto perfil que probablemente los colocarán en la mira de las agencias internacionales de aplicación de la ley.

Se cree que BlackCat es una operación de cambio de marca DarkSide, que se cerró bajo la presión de las fuerzas del orden después de su ataque de ransomware muy publicitado en Colonial Pipeline.

Después de cerrar DarkSide, cambiaron su nombre a BlackMatter para evadir a la policía, pero la presión continuó y el grupo cerró nuevamente.

Desde noviembre de 2021, cuando los actores de amenazas se relanzaron como BlackCat/ALPHV, tienden a evitar los grandes objetivos estadounidenses y apuntan a entidades europeas, como los estados austriacos,  las cadenas de moda italianas y un proveedor de servicios aeroportuarios suizo.

Sin embargo, continúan atacando infraestructura crítica, como la empresa alemana de suministro de petróleo Oiltanking en febrero y ahora Creos Luxemburgo.

Nueva modalidad de extorsión.

Ahora, ALPHV/BlackCat ha comenzado a publicar sitios web de víctimas individuales en internet abierto y al público, con los datos filtrados disponibles de forma que sean fáciles de buscar por los propios empleados y víctimas (por ejemplo, huéspedes de un hotel).

El sitio de ALPHV afirma preocuparse por la privacidad de las personas, pero permiten que cualquiera vea los datos confidenciales robados.

ALPHV anunció recientemente en su sitio web de "extorsión y vergüenza" de víctimas que había hackeado un spa y resort de lujo en el oeste de los Estados Unidos. En algún momento de las últimas 24 horas, ALPHV publicó un sitio web con el nombre de la misma víctima en el dominio y su logotipo en la página de inicio.

Los recientes ataques de ransomware realizados contra proveedores de energía en Europa tuvieron éxito, pero no tuvieron un impacto significativo en la infraestructura del país.  Sin embargo, considerando los eventos geopolíticos en Europa del Este, estos ataques deberían servir como un fuerte recordatorio de que las organizaciones deben permanecer en alerta máxima contra los ataques cibernéticos. 

Deben examinar campañas recientes, como las que se ejecutan con el ransomware BlackCat, para educar a los equipos y mantener detecciones actualizadas para las últimas tácticas, técnicas y procedimientos (TTP) de los actores de amenazas.  Como la mayoría de los ataques y las campañas de los actores de amenazas, el ransomware BlackCat puede lograr el acceso inicial utilizando muchas variaciones diferentes que dependen del afiliado que opera el ataque, sin embargo, la carga útil será muy similar para las infecciones.

El ransomware es una amenaza que no requiere una amplia introducción, ya que se ha mantenido en constante evolución y adaptándose a los nuevos entornos de trabajo, adicionando capacidades y ampliando sus alcances.

Si bien ha existido una leve baja en el volumen de actividades en el teatro de operaciones LATAM, sigue al alza en cuanto a cooperación con otros actores de amenaza y el estrecho vínculo con algunos portales del mercado negro, considerando la gran cantidad de afiliados que los programas de “recompensas” atraen a sus equipos. Sin embargo, durante este trimestre el ransomware continúa siendo una de las principales amenazas a nivel nacional y global.

Volumen de ataques por grupo de ransomware Q2 2022

Algo que ha marcado este trimestre, ha sido en gran medida la aparición de nuevos afiliados y variantes mejoradas, la implementación de “brazos” de operación de conocidos actores maliciosos y la orquestación de ataques por medio de ransomware llevada a cabo por APT.

Apreciación

Considerando las operaciones que ha tenido el ransomware a lo largo de su exposición en el mundo, se contempla su tendencia al alza, orientando sus operaciones a empresas u organizaciones de gran presencia en los países que han sido afectados, asociados en mayor medida a infraestructura crítica.

Por lo tanto, se puede deducir que la probabilidad de que estos actores sigan operando, bajo la modalidad de “desfragmentación” de sus grandes grupos cuando se ven descubiertos, migrando a unidades más reducidas, aprovechando incluso la colaboración con otros grupos que buscan el mismo objetivo, como fue el caso de Conti, quien finalmente derivó en afiliados a las operaciones de "Karakurt y BlackBasta", que en conjunto con Quantum, realizaron operaciones en contra de Costa Rica. 

En este sentido, la recomendación siempre será estar atentos a las nuevas técnicas que seguirán desarrollando, valiéndose del abuso de proveedores de grandes empresas, cadenas de suministros, etc., para ganar y asegurar el acceso inicial, lo que se traduce en el desarrollo de nuevas estrategias de defensa para reforzar las correspondientes medidas de protección ya existentes. 

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
• Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
• Validar que todos los accesos remotos a la red de su organización cuentan con “Multi factor de autenticación” (MFA) - recordando que US-CISA agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas"  (https://www.cisa.gov/uscert/ncas/current-activity/2021/08/30/cisa-adds-single-factor-authentication-list-bad-practices).
• Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
• Realizar Backup (respaldo) de todos los sistemas que posea dentro de su organización.
• Bajo ningún motivo almacenar los Backup dentro del mismo servidor, equipo o red local.
• Comprobar que las copias de seguridad y los mecanismos de restauración funcionan.
• Asegúrese de que los productos integrados existentes de filtrado y detección, están habilitados y operando de manera correcta.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
  • Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
  • Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365. 
  • No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas (https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout).
  • Considere usar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell usadas para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles filtraciones.
• Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
•  Implemente políticas de acceso restrictivo, según las necesidades de su organización.
• Establezca una línea de base (Baseline) para la actividad normal de la red dentro de su entorno.
• Revise periódicamente los registros de inicio de sesión de Active Directory (AD) y los registros de auditoría unificados para detectar actividades anómalas.
• Implemente Multi Factor de Autenticación (MFA) para todos los usuarios, sin excepción.
• Hacer cumplir el uso del Multi Factor de Autenticación (MFA).
• Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
• Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
• Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
• Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
• Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
• Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
• Audite las reglas de correo electrónico con alertas exigibles a través del Centro de seguridad y cumplimiento u otras herramientas que usan Graph API para advertir a los administradores sobre actividades anormales.
• El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
• Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
• Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.
• Centrarse en la concientización y la formación. Informe a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
• Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.