Incidente en servicio público del estado de Chile - SERNAC

Como ya es conocido, hace algunos días atrás se presentó una interrupción en todos los servicios públicos del Servicio nacional de los consumidores SERNAC que fue finalmente asociado con una amenaza de ransomware que hasta el momento no ha podido ser vinculada con precisión, por lo que desde CSIRT gobierno han levantado una alarma a todas las instituciones de gobierno para que tomen medidas mitigatorias a la brevedad posible.

Descripción

La semana del día 22 de agosto del presente año, se dio a conocer por parte de la comunidad de consumidores problemas para conectarse a los sitios vinculados a SERNAC obteniendo una ola de comentarios en redes sociales, a lo cual el día 25 de agosto se publicó un comunicado por la institución afectada en que mencionaba que se encontraba bajo un incidente de ciberseguridad que había comprometido su infraestructura pero que se encontraba siendo abordado por CSIRT gobierno.

Ilustración 1 - Comunicado oficial de SERNAC en Twitter

El día siguiente a esta alerta se publicó un nuevo comunicado en donde se encontraba el análisis realizado a la muestra de malware obteniendo que se encontraba vinculado a Ransomware pero que, sin embargo, no se habría podido identificar con precisión la familia a la cual pertenece.

Ilustración 2 - Comunicado oficial de CSIRT en Twitter

Entre las características brindadas por el análisis de CSIRT se identifica lo siguiente:

• Roba credenciales desde los navegadores
• Enumera dispositivos de extracción como HDD y pendrives
• Posee capacidades de evasión de antivirus con timeout
• Ataque enfocado en servidores Microsoft y VMware ESXi
  • Detiene máquinas virtuales
• Extension de archivos .crypt enfocado principalmente a los siguientes archivos
  • Registro (.log)
  • Archivos ejecutables (.exe)
  • Archivos de bibliotecas dinámicas (.dll)
  • Archivos de intercambio (.vswp)
  • Discos virtuales (.vmdk)
  • Archivos de instantáneas (.vmsn)
  • Archivos de memoria (.vmem)
• Algoritmo de cifrado NTRUEncrypt
• Nota de rescate con canal de contacto e ID único para tomar contacto en máximo 72 Hrs.

Posterior a este comunicado, se ha levantado una alerta a todas las entidades gubernamentales para tomar cartas en el asunto debido a la alta posibilidad de propagación del ransomware ya sea mediante la red o mediante accesos válidos obtenidos mediante la sustracción de credenciales válidas de parte de los usuarios debido a las capacidades de infostealer que esta amenaza presenta.

Entre las recomendaciones se indica:

• Asegurar que todos los componentes de sus sistemas estén protegidos por programas antivirus, antimalware y firewall con sus licencias vigentes
• Revisar que activos de VMware y Microsoft, y todo su software, estén actualizados y protegidos.
• Respaldar sus datos y procesos más importantes, separados de los activos que respaldan -idealmente también de forma física-, y protegidos con firewalls y protocolos de seguridad.
• Concientizar a los funcionarios que deben desconfiar de los correos electrónicos que reciben
• Fortalecer las configuraciones de sus servicios antispam
• Implementar la segmentación de la red
• Controlar los privilegios de los usuarios para ajustarse a sus requerimientos.

En base a los patrones y características informadas por CSIRT gobierno en boletines del día 25 de agosto, se recopilaron antecedentes de amenazas de un posible ransomware con características similares, a las ya informadas, sin embargo, esto No debe ser considerado como una afirmación, sino más bien como materia de análisis.

Ransomware Red Alert/N13V

• Semejanzas: 
  • Enfocado en Windows y VMWare Esxi
  • Detención de máquinas virtuales
  • Extension de archivos .crypt junto a un número
  • Cifrado de archivos mediante TRUECrypt
  • Nota de rescate con Clave pública única por víctima
  • Periodo de contacto de 72 Hrs
  • Presión de negociación mediante venta de info en Darkweb

• Características adicionales:
  • Primera publicación en sitio web 06-07-2022
  • Registro histórico de 4 víctimas
  • Escrito en C
  • Pagos en criptomoneda Monero

Ilustración 3 -  Ejemplo de nota de rescate de Ransomware Red Alert/N13V

IoC´s

No se cuenta con  nuevos IoC´s, a los ya informados por comunicado de CSIRT Gobierno.

Como se ha descrito anteriormente, el caso todavía se encuentra bajo análisis y trabajando en su correcta identificación, por lo que las labores de remediación aún no se encuentra finalizadas, pese a que el sitio web de SERNAC se encuentra nuevamente habilitado, mientras no se sepa a ciencia cierta el total de información secuestrada por los atacantes, esta amenaza aún continúa latente para el resto de instituciones gubernamentales, sin embargo, estar preparados para un caso como este resulta una labor completamente pertinente que se debe tener siempre en consideración.

Es importante mencionar que esta amenaza al haber afectado una organización de este tipo es posible que mantenga sus objetivos centrados en la región, dado que existen casos conocidos en que una vulneración entrega información suficiente a los atacantes para poder perpetrar otros ataques en instituciones vinculadas, mediante ataque comúnmente conocido como vulneraciones en la cadena de suministro.

Recalcar que pese a que RedAlert mantenga patrones de ejecución similares, aún no es posible generar una vinculación directa con el incidente de SERNAC por lo que solo se debe mantener únicamente como materia de análisis.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar respaldos de forma periódica y que además se encuentre almacenado en un lugar diferente a los servidores respaldados, idealmente en formato físico.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
• Realizar Backup (respaldo) de todos los sistemas que posea dentro de su organización.
• Bajo ningún motivo almacenar los Backup dentro del mismo servidor, equipo o red local.
• Comprobar que las copias de seguridad y los mecanismos de restauración funcionan.
• Asegúrese de que los productos integrados existentes de filtrado y detección, están habilitados y operando de manera correcta.
• Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
• Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
• Validar que todos los accesos remotos a la red de su organización cuentan con “Multi factor de autenticación” (MFA) - recordando que US-CISA agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas"  (https://www.cisa.gov/uscert/ncas/current-activity/2021/08/30/cisa-adds-single-factor-authentication-list-bad-practices).
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
• Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
• Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365. 
• No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas (https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout).
• Considere usar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell usadas para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles filtraciones.
• Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
• Implemente políticas de acceso restrictivo, según las necesidades de su organización.
• Establezca una línea de base (Baseline) para la actividad normal de la red dentro de su entorno.
• Revise periódicamente los registros de inicio de sesión de Active Directory (AD) y los registros de auditoría unificados para detectar actividades anómalas.
• Implemente Multi Factor de Autenticación (MFA) para todos los usuarios, sin excepción.
• Hacer cumplir el uso del Multi Factor de Autenticación (MFA).
• Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
• Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
• Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
• Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
• Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
• Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
• Audite las reglas de correo electrónico con alertas exigibles a través del Centro de seguridad y cumplimiento u otras herramientas que usan Graph API para advertir a los administradores sobre actividades anormales.
• El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
• Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
• Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.
• Centrarse en la concientización y la formación. Informe a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
• Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.