Ransomware Lockbit se adjudica ataque a Entrust

26 Agosto 2022
Medio

 

Durante la presente semana se ha dado a conocer el caso de que Lockbit Ransomware habría afectado a Entrust, empresa que entre otros productos, provee de Software y Hardware para emisión de tarjetas financieras  y documentos de autenticación como pasaportes electrónicos, lo cual sugiere un gran riesgo para la clonación de identificaciones de usuarios o de fraudes bancarios, entre otros.

 

Entrust

A grandes rasgos, Entrust ss una organización creada en 1994 y que mantiene operaciones alrededor de todo el mundo, dedicado en específico a las áreas de seguridad de autenticación física y digital como se detalla a continuación, por lo que la obtención de información sensible de la compañía podría exponer no solo a la institución propiamente tal, sino que también a un gran listado de instituciones financieras y gubernamentales.

  • Certificados digitales
  • Firma digital
  • Infraestructura de clave pública
  • Centro de excelencia criptográfica
  • Seguridad del Internet de las cosas
  • Gestión de dispositivos móviles
  • Gestión de identidad y acceso
  • Módulos de seguridad de hardware
  • Seguridad en la nube, cifrado
  • Gestión de claves
  • Sistemas de emisión de tarjetas financieras
  • Sistemas de emisión de tarjetas gubernamentales
  • Sistemas de tarjetas financieras y de identificación instantáneas
  • Software de emisión

 

Según lo mencionado en la propia página web de los afectados, estos trabajan conjuntamente con grandes organizaciones como Microsoft, Mastercard, Visa, VMWare, ServiceNow entre otros, por lo que el impacto de esta actividad maliciosa podría abarcar un gran espectro de usuarios de diferente índole

 

Partners identificados en pagina web de Entrust

 

De acuerdo a la información recopilada, la compañía habría sido afectada con Ransomware Lockbit el dia 18 de Junio, pero no ha sido hasta ahora que se ha liberado la información relativa  a este ataque, por lo que podría tratarse del tiempo de negociación entre la organización y los ciberactoes, sin embargo, conociendo que se han publicado gran cantidad de GB de información, supondría que las negociaciones no han resultado satisfactorias.

Ante esto, Entrust lanzó un comunicado público de la situación el día 6 de Julio, en donde se da a conocer que han sido afectados sus sistemas informáticos desde donde se extrajo información interna pero que no se han detectado accesos no autorizados a sus sistemas, por lo que se encontraban trabajando en la investigación de este suceso en conjunto a una organización externa de ciberseguridad.

 

Comunicado oficial ofrecido por Entrust

 

Dada  esta información, un usuario en red social twitter hace referencia de que hasta el día 21 de agosto nadie se habría adjudicado este ataque, mientras que a la fecha los servicios de la organización continúan caídos.

 

Sitio web caido de Entrust.com


 

LOCKBIT

En lo que respecta al grupo de ciberacotes, es conocido que se encuentran en la tercera versión de su Ransomware, en donde gradualmente han perfeccionado sus operaciones, incluso levantando programas de Bug Bounty para el testeo de su infraestructura, sentando precedentes para el grado de organización y desarrollo de este tipo de operaciones, ya que corresponderia a una de las agrupaciones que ha perdurado activa por gran cantidad de tiempo mientras que a la vez continúa con un alto volumen de  ataques mensuales, lo que por largo tiempo mantuvo cierta competencia con actores de ransomware CONTI (actualmente Offline) que corresponde al grupo con el récord de mayor cantidad de víctimas históricas hasta el momento.

Una vez accediendo al sitio web de LockBit es posible filtrar por la compañía Entrust entre todos los dataleaks disponibles, desplegando así un directorio que contiene toda la información sustraída, sin embargo, de acuerdo a las propias declaraciones de grupo de actores, es que se planea disponer de un Link de Torrent para facilitar el acceso a la información por terceros.

 

Comunicado de LockBit  solicitando colaboracion para la carga de Dataleak en Torrent

 

Mientras esto no se concreta, en la misma página de Lockbit se encuentran publicados gran cantidad de documentos de hasta 2GB cada uno, por lo que el volumen de data filtrada sería elevado, sin embargo dado que esta información no ha sido descargada, por lo que es posible que contenga gran cantidad de información sensible para la organización

Cabe destacar que los primeros documentos cargados en el sitio mantienen fecha del 16 de agosto del presente año, que podría corresponder a los datos cargados a modo de extorsión para luego continuar con la carga del resto de documentación. 

 

Documentacion publicada de Entrust en sitio web de Lockbit

 

Otra de las características que llaman altamente la atención del grupo LockBit es la cantidad de sitios web Mirrior (24) que disponen para el compartimentaje de información, lo que revelaría características de una gran infraestructura detrás de la operación, que permite brindar una alta disponibilidad a sus sitios web.

 

Mirror sitio web de dataleaks de LockBit

 

Panorama

De acuerdo a lo visualizado y las capacidades detectadas de este grupo de amenaza, es altamente esperable que los datos secuestrados sean utilizados para ataques de mayor envergadura que podrían afectar tanto a la propia compañía como  a sus partner y a los clientes de los mismos como por ejemplo en caso de haber obtenido informacion acerca de tarjetas bancarias es posible que estas sean utilizadas para su suplantacion, mientras que si se obtuvo informacion acerca de generacion de documentos gubernamentales,  es probable que terminen siendo ofrecidos en mercados negros.

Por otra parte es esperable que partners de la organización se encuentren aplicando medidas mitigatorias para limitar la propagación o afectación de los sistemas comprometidos, sin embargo, no existe información consistente que permita aseverar la presencia de documentos o accesos a plataformas de terceros, por lo que solo resta de tiempo para comenzar a develar los alcances de este ataque, ya que tal como ha sucedido en casos previos como grupo LAPSUS$ han utilizado la información de ataques para perpetrar nuevas víctimas que se vinculan internamente.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
  • Realizar Backup (respaldo) de todos los sistemas que posea dentro de su organización.
  • Bajo ningún motivo almacenar los Backup dentro del mismo servidor, equipo o red local.
  • Comprobar que las copias de seguridad y los mecanismos de restauración funcionan.
  • Asegúrese de que los productos integrados existentes de filtrado y detección, están habilitados y operando de manera correcta.
  • Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
  • Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
  • Validar que todos los accesos remotos a la red de su organización cuentan con “Multi factor de autenticación” (MFA) - recordando que US-CISA agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas"  (https://www.cisa.gov/uscert/ncas/current-activity/2021/08/30/cisa-adds-single-factor-authentication-list-bad-practices).
  • Proteger el protocolo RDP:
    • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
    • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
    • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
    • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
    • Habilitar la autenticación de nivel de red (NLA).
  • Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
  • Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
  • Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365. 
  • No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas (https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout).
  • Considere usar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell usadas para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles filtraciones.
  • Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
  • Implemente políticas de acceso restrictivo, según las necesidades de su organización.
  • Establezca una línea de base (Baseline) para la actividad normal de la red dentro de su entorno.
  • Revise periódicamente los registros de inicio de sesión de Active Directory (AD) y los registros de auditoría unificados para detectar actividades anómalas.
  • Implemente Multi Factor de Autenticación (MFA) para todos los usuarios, sin excepción.
  • Hacer cumplir el uso del Multi Factor de Autenticación (MFA).
  • Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
  • Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
  • Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
  • Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
  • Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
  • Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
  • Audite las reglas de correo electrónico con alertas exigibles a través del Centro de seguridad y cumplimiento u otras herramientas que usan Graph API para advertir a los administradores sobre actividades anormales.
  • El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
  • Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
  • Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.
  • Centrarse en la concientización y la formación. Informe a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
  • Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.

Tags: #Ransomware #Lockbit #Entrust #Dataleak


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.