Grupos de ransomware se promocionan en foros underground

Recientemente se ha evidenciado en foros DDW (Deep Dark Web) que diferentes grupos de ransomware ofrecen programas de reclutamiento para sus operaciones maliciosas, ofreciendo hasta el 70% de las recompensas obtenidas para aquellos que colaboren en sus ataques, en donde se les ha dispuesto de un subforo especifico para esto, logrando que diferentes operadores de ransomware compartan incluso los dataleaks de sus víctimas .

Medusa Ransomware

Este grupo está presente desde el año 2019 en el panorama de amenazas mundial, posee un servicio RaaS (Ransomware-as-a-Service) y sus principales objetivos son la Infraestructura tecnológica y TI, aunque en el último tiempo a través de su foro se han adjudicado ataques a distintos sectores de la sociedad. El pasado mes de abril publicamos un boletín del Panorama de Amenazas Q1 en Chile y LATAM, donde Medusa está presente para más detalles visita el siguiente enlace:

https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1566/
 

En el foro de la DeepWeb desplegado por Medusa se está ofreciendo activamente ser parte de su organización delictual si posee los siguientes requisitos:

• Tener acceso a la red de la empresa
• Posee credenciales de acceso RDP
• Credenciales de acceso de Email corporativos 
• Insertar un malware proporcionado por los ciber actores, en la red interna.
• Extraer información importante de la empresa para causar daño

En otro apartado se menciona que si son subidos los datos de la empresa y almacenados en una nube en donde las ciberactores tengan acceso para iniciar el proceso de extorsión el afiliado podrá quedarse con el 70% de lo recaudado en caso la empresa acceda a sus demandas.

Así mismo por hacerse miembro oficial del grupo de ciberactores ofrecen tener paneles privados de administración, pero para ello el afiliado ya debe tener un buen historial de presencia en foros de la Deep y Dark Web.

Ilustración 1: Foro Dark Web Medusa reclutando afiliados
Fuente: Grupo CTI Entel

Últimas víctimas en LATAM

Son 7 las víctimas de LATAM públicamente expuestas en el blog de los actores, entre los que se encuentran 2 de Chile, siendo hasta el momento, el país más afectado por este grupo en la región.

• 2 Chile
• 1 Argentina
• 1 México
• 1 Bolivia
• 1 Colombia
• 1 República Dominicana

Trigona Ransomware

Este grupo está presente desde Octubre del año 2022 en el panorama de amenazas mundial, posee un servicio RaaS (Ransomware-as-a-Service) y sus principales objetivos son los servicios TI y empresas de finanzas, aunque en el último tiempo a través de su foro se han adjudicado ataques a distintos sectores. 

El mes de abril publicamos un boletín del Panorama de Amenazas Q1 en Chile y LATAM, donde Trigona se encuentra como actores de amenaza emergentes y que tal como había sido observado, ya se encuentra expandiendo sus operaciones. Para más detalles visita el siguiente enlace: 

https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1566/

Ilustración 2: Foro Dark Web Trigona reclutando afiliados
Fuente: Grupo CTI Entel

El post original se encuentra dirigido en 3 idiomas distintos, Inglés, Ruso y Chino, en donde se detallan características tanto del software a utilizar para infectar a las víctimas, el panel de administración de los ataques, el modo de negociación y los métodos de pago a los afiliados, sin embargo, no se detallan requisitos técnicos de admisibilidad. 

Adicionalmente, el usuario Trigona se encuentra catalogado como GOD User (usuario nivel dios),  por tanto, se entiende que existe una estrecha relación entre los operadores del foro y el grupo de ransomware.

Este grupo actualmente no registra víctimas públicas en LATAM ya que sus objetivos se  encuentran principalmente centrados en EE.UU  y Europa.

Apreciación

A través de estos post en la Deep Web, los ciberactores detrás de Medusa y Trigona buscan reclutar nuevos afiliados, pero no cualquiera, sino perfiles que se ajusten a sus necesidades, que ya tengan un historial de presencia en foros clandestinos o también sean colaboradores que trabajen en áreas de TI con acceso a sistemas o información relevante y estén descontentos dentro de sus empresas u organizaciones.

Al día de hoy 06 de junio 2023, ya hay más de 400 posibles interesados en ser parte de estas organizaciones de ciberactores. Ambos post fueron publicados tan solo este mes de haber interesados en ser parte de sus filas tanto Medusa como Trigona podrían llegar a propagarse rápidamente y con alcance global estrechando las distancias con LockBit y BlackCat que son los grupos de Ransomware más activos y que actualmente llevan la delantera en víctimas afectadas.

Adicionalmente se observa que el perfil de Medusa está catalogado como moderador de sub-foros, por tanto, se entiende que existe una estrecha relación entre los operadores del foro y este grupo de ransomware.

Los ciber actores detrás de estos grupos están ofreciendo sus servicios abiertamente a quien los quiera utilizar a través de distintos incentivos a sus afiliados con esto se puede inferir que están en un proceso de reestructuración o que planean expandirse, por lo que solo queda observar detenidamente el comportamiento de estos grupos en el tiempo, sin embargo es altamente probable que se genere un aumento de víctimas ya que en ambos casos corresponden a procesos de mejora de los equipos de ciberactores.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Centrarse en la concientización y la formación. Informar a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
• Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
• Realizar Backup (respaldo) de todos los sistemas que posea dentro de su organización.
• Bajo ningún motivo almacenar los Backup dentro del mismo servidor, equipo o red local.
• Comprobar que las copias de seguridad y los mecanismos de restauración funcionan.
• Asegúrese de que los productos integrados existentes de filtrado y detección, están habilitados y operando de manera correcta.
• Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
• Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
• Validar que todos los accesos remotos a la red de su organización cuentan con “Multi factor de autenticación” (MFA) - recordando que US-CISA agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas"  (https://www.cisa.gov/uscert/ncas/current-activity/2021/08/30/cisa-adds-single-factor-authentication-list-bad-practices).
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
  • Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
  • Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365. 
  • No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas (https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout).
  • Considere usar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell usadas para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles filtraciones.
• Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
  • Implemente políticas de acceso restrictivo, según las necesidades de su organización.
  • Establezca una línea de base (Baseline) para la actividad normal de la red dentro de su entorno.
  • Revise periódicamente los registros de inicio de sesión de Active Directory (AD) y los registros de auditoría unificados para detectar actividades anómalas.
  • Implemente Multi Factor de Autenticación (MFA) para todos los usuarios, sin excepción.
  • Hacer cumplir el uso del Multi Factor de Autenticación (MFA).
  • Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
  • Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
  • Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
  • Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
  • Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
• Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
• Audite las reglas de correo electrónico con alertas exigibles a través del Centro de seguridad y cumplimiento u otras herramientas que usan Graph API para advertir a los administradores sobre actividades anormales.
• El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
• Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
• Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.