Ransomware Buhti atacando sistemas Windows y Linux

Finalizado el mes de marzo 2023 ya existían indicios de que este grupo de ciberactores también conocidos como “Blacktail” estaban explotando una vulnerabilidad crítica en una aplicación de intercambio de archivos de IBM instalando ransomware Buhti e IceFire en servidores de Linux.

Para mayores datos de este boletín lo puedes revisar en el siguiente enlace:

https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1545/

Ransomware Buhti

Este ransomware fue detectado por primera vez en febrero del 2023 por el equipo de investigación de Palo Alto Networks, quienes determinaron que el lenguaje de programación utilizado por los ciberactores estaba basado en Go para Linux.

Desde febrero a la fecha los ciberactores han cambiado su orientación para afectar los sistemas informáticos infectando también plataformas de Windows utilizando una variante de LockBit 3.0.

Reutilización de código

Buhti utiliza código filtrado de otras familias de ransomware ya conocidas como LockBit 3.0 y Babuk, los cuales se han caracterizado a nivel mundial por afectar sistemas de Windows y Linux respectivamente. El 21 de septiembre del 2022, un desarrollador bajo el nombre “3xp0rt” disponibilizó el código de Lockbit en Twitter y Github, pero al poco tiempo de estar disponible, fue dado de baja.

Ilustración 1: Twitter publicado con código LockBit
Fuente: CCI Entel

Como mencionamos anteriormente, este ransomware recicla código de otros grupos de ciberactores. Para los ataques a sistemas Linux en particular utiliza una carga útil (payload) de Babuk, dicho código también fue filtrado en un foro ruso en septiembre del año 2021.

Ilustración 2: Foro Ruso filtración de código Babuk
Fuente: CCI ENTEL

 

La reutilización de código malicioso por los distintos grupos de ciberactores es un signo de ser menos sofisticados, pero en este caso hay muchos que usan la carga útil de Babuk ya que han comprobado su capacidad de comprometer sistemas de VMware ESXi y Linux expuestos en distintos países, actualmente para los ciberactores estos métodos de doble extorsión siguen siendo un negocio rentable.
 

Nota de cifrado

Cuando una víctima es infectada con el ransomware Buhti cambia el fondo de pantalla con el objetivo de llamar la atención del usuario y abran la nota de rescate, adicionalmente al igual que otras muestras maliciosas de esta familia modifica la extensión de los archivos cifrados agregándoles “[.]buthi”.

Ilustración 3: Nota de cifrado Buhti
Fuente: BleepingComputer

 

Sistemas vulnerables

Según investigaciones realizadas por Symantec han detectado que los ataques de Buhti han estado explotando la vulnerabilidad de PaperCut NG y MF RCE.

• ZDI-CAN-18987 / PO-1216: Unauthenticated remote code execution flaw impacting all PaperCut MF or NG versions 8.0 or later on all OS platforms, for both application and site servers. (CVSS v3.1 score: 9.8 – critical)
• ZDI-CAN-19226 / PO-1219: Unauthenticated information disclosure flaw impacting all PaperCut MF or NG versions 15.0 or later on all OS platforms for application servers. (CVSS v3.1 score: 8.2 – high)

Los ciberactores se aprovechan de la vulnerabilidad CVE-2023-27350 para instalar Cobalt Strike, Meterpreter, Sliver, AnyDesk y ConnectWise en los equipos vulnerables, usándolos posteriormente para robar credenciales y moverse lateralmente dentro de las redes comprometidas, robar archivos, lanzar cargas útiles adicionales y más.

Exfiltración de archivos

Para exfiltrar la información utilizan una herramienta basada en Go que puede recibir argumentos de línea de comandos para apuntar a los directorios que les interesan a estos ciberactores. Entre los archivos que son capaces de cifrar y extraer figuran: pdf, php, png, ppt, psd, rar, raw, rtf, sql, svg, swf, tar, txt, wav, wma, wmv, xls, xml, yml, zip, aiff, aspx, docx, epub, json, mpeg, pptx, xlsx y yaml.

El argumento -o en la línea de comando especifica el archivo que se creará. El argumento -d especifica el directorio para buscar archivos de interés. Por ejemplo:

CSIDL_WINDOWS\temp\xhfw.exe -o CSIDL_WINDOWS\temp\output.zip -d CSIDL_PROFILE

Posterior a la ejecución de este comando, los archivos robados son comprimidos y enviados hacia sus propios servidores de Blacktail, para posteriormente comenzar la fase de doble extorsión.
 

Apreciación

Esta banda de ciberactores es potencialmente peligrosa, ya que están en constante búsqueda de nuevos exploit para usarlos contra las vulnerabilidades en los sistemas expuestos, poseen herramientas de desarrollo propio como también utilizan código reciclado de otros grupos de ransomware los cuales han tenido una activa participación y adjudicación de distintos ataques en el escenario mundial como LockBit uno de los más activos actualmente y Babuk afectando muchos sistemas basados en Linux. 

Por esto, se insta a mantener una mayor vigilancia y aplicar estrategias de defensa proactivas manteniendo siempre actualizado los sistemas informáticos y conocer en detalle la superficie de ataque con el objetivo de reducirla y evitar ser víctima de estos grupos de ciberactores que tienen el tiempo, la experiencia, y las herramientas necesarias para infiltrarse en sistemas expuestos o inseguros.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
• Realizar Backup (respaldo) de todos los sistemas que posea dentro de su organización.
• Bajo ningún motivo almacenar los Backup dentro del mismo servidor, equipo o red local.
• Comprobar que las copias de seguridad y los mecanismos de restauración funcionan.
• Asegúrese de que los productos integrados existentes de filtrado y detección, están habilitados y operando de manera correcta.
• Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
• Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
• Validar que todos los accesos remotos a la red de su organización cuentan con “Multi factor de autenticación” (MFA) - recordando que US-CISA agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas"  (https://www.cisa.gov/uscert/ncas/current-activity/2021/08/30/cisa-adds-single-factor-authentication-list-bad-practices).
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
  • Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
  • Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365. 
  • No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas (https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout).
  • Considere usar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell usadas para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles filtraciones.
  • Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
  • Implemente políticas de acceso restrictivo, según las necesidades de su organización.
  • Establezca una línea de base (Baseline) para la actividad normal de la red dentro de su entorno.
  • Revise periódicamente los registros de inicio de sesión de Active Directory (AD) y los registros de auditoría unificados para detectar actividades anómalas.
  • Implemente Multi Factor de Autenticación (MFA) para todos los usuarios, sin excepción.
  • Hacer cumplir el uso del Multi Factor de Autenticación (MFA).
  • Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
  • Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
  • Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
  • Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
  • Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
  • Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
  • Audite las reglas de correo electrónico con alertas exigibles a través del Centro de seguridad y cumplimiento u otras herramientas que usan Graph API para advertir a los administradores sobre actividades anormales.
  • El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
  • Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
  • Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.
  • Centrarse en la concientización y la formación. Informe a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
  • Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.