Cibercatores están utilizando el servicio Cloud de Adobe, para infectar con RedLine

RedLine Stealer, es una de las familias de malware de robo de información, más utilizados en el último tiempo, si bien existen otros Infostealear, RedLine es uno de los proveedores que destacan en el robo de credenciales para ser vendidas en los distintos mercados clandestinos, uno de estos mercados era Breach Forums, que hace tan solo unos días fue cerrado para siempre, tras el arresto de su creador Conor Brian Fitzpatrick el pasado 18 de marzo, en Nueva York.

Para conocer más información sobre Infostealers visita el siguiente boletín: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1305/

Antecedentes 

Los grupos de ciber actores detrás de los Infostealers siempre están actualizando sus TTP´s, investigando nuevas tecnologías, aprovechándose de servicios gratuitos y que den confianza a las potenciales víctimas.

El servicio de documentos en línea en este caso de Adobe Acrobat Sign, es un servicio de firma electrónica que permite a los usuarios cargar documentos en la nube y compartirlos con otros usuarios, para que sean firmados electrónicamente.

Adobe posee una versión gratuita de este servicio por 30 días en su portal  Adobe.com, entre las características principales se puede apreciar integración con Office 365, acceso a consola de administración, envíos masivos y mucho más.

En la siguiente imagen se pueden ver todas las características ofrecidas en esta versión.

Ilustración 1: Versión Free Trial disponible en Adobe Sign
Fuente: Adobe

Actualmente este servicio es de prueba y gratuito, pero los ciber actores se han aprovechado de él utilizándolo de forma inadecuada, para cargar sus documentos maliciosos en los servidores públicos de Adobe ubicados en eu1.documents.adobe[.]com/public/ (Actualmente Offline). 

Método de propagación

Investigadores de empresas de Antivirus, han detectado que los ciber actores están abusando de este servicio para distribuir Redline .
Una vez que se cargan estos documentos, los ciber actores los comparten con destinatarios específicos (víctimas), mediante el servicio de notificación por correo electrónico de Adobe, luego se registran en el servicio a través de un correo electrónico falso y cargan un documento que contiene un enlace a un sitio web diseñado por ellos, luego envían invitaciones a través de un correo genuino de Adobe para que revisen y firmen dichos documentos.

El enlace en el documento lleva a las víctimas a otro sitio falso creado por los ciber actores, protegido a través de un CAPTCHA codificado, posteriormente se insta a las víctimas a descargar un archivo ZIP que trae embebido el infostealer Redline.

En la siguiente imagen se puede visualizar un correo tipo empleado por los ciber actores, al intentar que una víctima revise  y firme  un documento recibido en su correo electrónico a través de Adobe Acrobat Sign, en este caso una supuesta infracción de derechos de autor.

Ilustración 2: Correo falso notificando a usuario por infracción de derechos de autor
Fuente: Bleepingcomputer

Mal uso de servicios en la nube

Se ha detectado que en los últimos meses, varios grupos de ciber actores se han dirigido a los servicios basados ​​en la nube, para realizar diversas actividades maliciosas, incluido el cryptohacking, la distribución de malware y más.

El mes pasado, un grupo de atacantes informáticos, denominado Nevada Group , apuntó a miles de servidores de VMware en la nube en los EE. UU. y Europa, al explotar vulnerabilidades que no habían sido parchadas por mucho tiempo. 

Casi al mismo tiempo, el grupo de ciber actores 8220 Gang , con sede en China, estaba atacando servidores en la nube mal protegidos, con el bot Tsunami IRC y un criptominero personalizado.

Apreciación 

Los distintos ciber actores presentes en el panorama de amenazas, seguirán buscando brechas de seguridad en servicios alojados en la nube como Adobe Acrobat Sign, intentando dar un sentido lógico y creíble a sus ataques para que las víctimas accedan a sus requerimientos en este caso a través de correo electrónico y ataques de phishing, ya que sigue siendo una de las formas rápidas y directa de comunicarse con sus objetivos. 

Es importante que las organizaciones efectúan constantes capacitaciones a sus colaboradores y los actualicen con las nuevas Tacticas Tecnicas y Procedimientos (TTP´s), que están utilizando los ciber actores en la actualidad, esto ayudará a reportar y contener a tiempo una posible amenaza informática.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.