Ransomware Cuba: La fusión de exfiltración y secuestro de información llega a Latinoamérica

El término ransomware, ya no es algo nuevo para las organizaciones. Día a día se difunden nuevas variantes de este malware a nivel global, amenazando con el secuestro de nuestra información. No obstante, 2020 nos sigue sorprendiendo.

Este año ha sido marcado por una agresiva reaparición de ataques por malwares del tipo ransomware, marcados por un contexto en donde los ciberdelincuentes se han aprovechado de la crisis económica y laboral causada por el brote de COVID-19. No obstante, esta reaparición trajo consigo la fusión de una nueva táctica que está siendo utilizada para lograr comprometer la confidencialidad de la información secuestrada.

Desde sus inicios en 2012, los ataques por ransomware se han caracterizado por comprometer la integridad y disponibilidad de la información al cifrar sus datos con algún algoritmo lo bastante robusto como para que no pueda descifrarla, exigiendo un rescate cuantioso por su recuperación.

Pero, ¿en qué ha cambiado el modus operandi de las campañas de ransomware en 2020?

Las nuevas campañas de ransomware evidenciadas en 2020 tienen una nueva forma de comprometer nuestra información y así asegurar el pago. Previo al cifrado de sus datos, los ciberdelincuentes exfiltran todos sus archivos hacia servidores de almacenamiento, a fin de tener un medio de extorsión; comprometiendo así la confidencialidad de sus activos. Algunas de las variantes que están trabajando con esta nueva táctica son: DoppelPaymer, Sodinokibi, ProLock, Maze, Mespinoza, Netwalker, CLoP, Nephilim y el reciente ransomware CUBA.

Hoy en día, estas variantes amenazan con la divulgación de los datos exfiltrados de sus víctimas como parte estándar de todos sus ataques, contando en muchos casos con sitios web particulares para dichas filtraciones.

RANSOMWARE CUBA

Esta variante, asociada a la familia de ransomwares Buran y Zeppellin, ha sido evidenciada paulatinamente en algunas organizaciones a nivel latinoamericano, encendiendo las alarmas de diversas empresas de ciberseguridad.

Las campañas activas se están propagando a través de dos vectores de ataque:

1. Explotando vulnerabilidades del protocolo RDP.
2. Archivos adjuntos de ofimática con macros habilitadas, en correos electrónicos que utilizan técnicas de engaño como la ingeniería social con phishing y spear-phishing. 

Al ejecutar el payload del malware, se efectúa la exfiltración de sus archivos directamente hacia un servidor de almacenamiento de los ciberdelincuentes y posteriormente cifra la información almacenada en el host de su víctima, agregando la extensión .cuba, y por supuesto, crea una nota de rescate con información necesaria para efectuar el pago en BitCoins a través de un archivo de texto llamado “!!FAQ for Decryption!!.txt”.

Respecto al pago del rescate, hemos validado que efectivamente los ciberactores entregan una herramienta de descifrado al momento de efectuar el pago. No obstante, las tasas de recuperación de datos se vieron disminuídas respecto a otras variantes de ransomware, ya que CUBA, durante el proceso de cifrado tiende a corromper los datos, existiendo en promedio un 5% de archivos que quedarán irrecuperables inluso con las herramientas de descifrado que entregan los ciberdelincuentes.

Asimismo, existen algunos sitios en internet que hablan de herramientas alternativas de descifrado. Al respecto, no tenemos antecedentes de cuanta data puede llegar a corromperse por aplicar estas medidas de recuperación. Es importante destacar que aplicar estas herramientas alternativas de descifrado no ayudaría a la organización en cuando a la confidencialidad de su información comprometida, puesto que sus datos ya han sido extraídos por los atacantes y están respaldados en algún servidor privado fuera de su organización, logrando así una nueva amenaza potenciada por la extorsión, atentando contra la filtración de los mismos.

¿Qué podemos hacer contra ransomware?

Debido a que se desenvuelve en un entorno focalizado en la motivación financiera del atacante, y a que su propagación regularmente es a través de campañas masivas que no involucran mayor consumo de recursos para los ciberdelincuentes que las soportan, es que este tipo de ataques ha ido ganando terreno en el universo de las ciberoperaciones.

Por su parte, para las víctimas, el impacto de verse envuelto en este tipo de amenazas involucra un elevado costo derivado de la pérdida de su operación e impacto reputacional. El escenario actual se ve mermado debido a la falta de visión respecto a riesgos de ciberseguridad y la poca conciencia digital de las organizaciones lo cual, lamentablemente, está favoreciendo a los atacantes debido a que naturalmente gran parte de las víctimas prefieren pagar por el rescate, antes de seguir soportando pérdidas de productividad o costes de recuperación.

Según estadísticas de empresas dedicadas a la recuperación digital cifrada por ransomware, el costo total de un ataque se puede dividir en dos:

• El costo de recuperación. Estos gastos cubren revisiones forenses y asistencia en la reconstitución de servidores y estaciones de trabajo. Si se paga un rescate, entonces eso también es un gasto de recuperación.
• El costo total del tiempo de inactividad, que en promedio se estiman en 15 días. Los costos de tiempo de inactividad suelen ser de 6 a 11 veces la cantidad de rescate real y se miden en pérdida de productividad (oportunidades de ingresos perdidos).

En el primer trimestre de 2020, el pago promedio de rescate empresarial aumentó un 33% más que en el cuarto trimestre de 2019. Los distribuidores de ransomware se dirigieron cada vez más a las grandes empresas y lograron forzar los pagos de rescate para la recuperación segura de datos. Entre las variantes más destacadas se presentaron Sodinokibi, Ryuk, Phobos y Dharma.

¿Qué tan factible es protegerse de este tipo de ataque?

Los ciberdelincuentes que están detrás de este tipo de campañas maliciosas, por lo general no tienen intenciones disruptivas, solo buscan obtener ingresos económicos de forma rápida y con altas probabilidades de éxito, es por esto que, en líneas generales, no se concentran en objetivos que tengan una buena infraestructura de seguridad, sino más bien en organizaciones inmaduras o con vulnerabilidades conocidas que puedan ser explotadas con facilidad. Entonces, ¿cómo se convierte una empresa en un objetivo costoso? ¿requerirá una revisión masivamente costosa para la seguridad de TI? La respuesta es no. 

El reto de las organizaciones está en contar con tecnologías adecuadas que prevengan este tipo de amenazas junto con la concienciación de sus colaboradores, quienes siguen siendo el eslabón más débil y principales responsables de la entrada de ciberataques.

Existen muchas estrategias que pueden resultar efectivas, sin embargo, se ha comprobado que el conjunto de éstas debe basarse en procedimientos y uso de la tecnología de forma preventiva en lugar de reactiva. Esto supone una alianza entre el departamento tecnológico y el resto de la organización logrando identificar todas las brechas de seguridad y hacer que estos ciberdelincuentes no quebranten la estabilidad de su organización.

A continuación, se mencionan algunos puntos a tomar en cuenta para la prevención de este tipo de ciberataques.

Asegure cualquier servicio remoto para reducir el riesgo en un 60%

Durante el primer trimestre de 2020, el 60% de los ataques de ransomware se originaron por explotación de vulnerabilidades del protocolo de escritorio remoto (RDP). El protocolo RDP está incluido en todos los sistemas Windows, es nativo de Microsoft y permite conectarse remotamente a un equipo a través de su IP o nombre de red, desde cualquier lugar de la red. Un ciberatacante podría buscar vulnerabilidades en este protocolo a través de configuraciones poco robustas o vulnerabilidades de sistemas operativos obsoletos o sin parcheado. Una vez dentro de una organización, los atacantes probablemente recopilarían más credenciales para escalar sus privilegios. 

Las recomendaciones para reducir estos riesgos son ajustes de configuración disponibles en todos los servicios RDP, las que no requieren de mayor consumo de recursos, haciendo actualizaciones y capacitando a los usuarios sobre cómo conectarse:

• Deshabilitar o eliminar servicios remotos siempre que sea posible.
• No permitir el acceso remoto directamente desde internet. En cambio, imponga el uso de puertas de enlace de acceso remoto junto con una VPN que requiere autenticación de múltiples factores.
• Requerir credenciales separadas para cualquier servicio de acceso remoto.
• Incluya en la lista blanca las direcciones IP que pueden conectarse mediante RDP para que solo las máquinas de confianza puedan conectarse.
• Implemente disposiciones de bloqueo de contraseña para evitar intentos de fuerza bruta.

Implemente la autenticación multifactor en todas las cuentas administrativas para reducir aún más el riesgo

Requerir a los usuarios finales que inicien sesión con autenticación multifactor (MFA) es una buena política. Ésta, debe estar complementada con la implementación de privilegios mínimos para garantizar que los usuarios de una red no tengan acceso administrativo a piezas críticas de su infraestructura tecnológica.

La autenticación multifactor por lo general es una opción gratuita presente en la mayoría de los servicios de software y hardware. Hacer uso de este recurso solo en cuentas administrativas de sistema, limita las ineficiencias percibidas de implementarlo en cada usuario, ya que incluso si se obtienen estas credenciales administrativas, una aplicación de autenticación sólida o un MFA basado en claves físicas evitará que los atacantes utilicen con éxito estas credenciales para acceder a controladores de dominio o sistemas de respaldo.

Aunque la autenticación multifactor no puede evitar que se haga clic o ejecute correos electrónicos malintencionados, evita que un intento de phishing exitoso se convierta en un incidente de ransomware sistémico a través de un privilegio escalado.

Además de implementar autenticación multifactor en sus cuentas administrativas, es importante comprender cómo el correo electrónico puede permitir que un atacante se establezca en su red, por lo que es necesario concientizar al personal de la organización sobre este punto.

Prevención y mitigación del riesgo de correo electrónico

Debemos tener presente que los correos electrónicos son uno de los medios más explotados por ciberdelincuentes para efectuar la entrega de distribución de malware, ya sea a través de archivos adjuntos o de vínculos a dominios maliciosos o comprometidos, aprovechándose del factor humano puesto que su propagación depende de las acciones de una persona y no de un sistema. Para ello se recomienda:

• Forzar la rotación regular de contraseñas para que las credenciales cambien para los usuarios del perímetro.
• Utilizar herramientas de capacitación sobre conciencia de seguridad para ayudar a los empleados a identificar técnicas de ingeniería social y correos electrónicos de phishing con enlaces maliciosos.
• Utilizar políticas restrictivas como el bloqueo de correos electrónicos externos y archivos adjuntos solo a aquellos que sean necesarios para las operaciones comerciales, considerando bloquear el acceso si la actividad no se puede monitorear bien o si presenta un riesgo significativo.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.