Telecom Argentina afectada por un importante ataque de Ransomware

Durante el fin de semana, el grupo de ransomware REvil (Sodinokibi) se dirigió a Telecom Argentina, uno de los proveedores de servicios de Internet más grandes del país. El grupo ahora está exigiendo US$7.5 millones en rescate, y esa suma supuestamente se duplicará después de tres días. El incidente no causó ningún daño a los clientes del ISP, pero los sitios web oficiales de la compañía han caído desde el sábado y 18,000 computadoras han sido infectadas después de que los piratas informáticos obtuvieron el control de un administrador de dominio interno.

Incidente

El incidente tuvo lugar el sábado 18 de julio, y es considerado uno de los mayores hacks de Argentina. Fuentes dentro del ISP dijeron que los piratas informáticos causaron grandes daños a la red de la compañía después de que lograron obtener el control de un administrador de dominio interno, desde donde se extendieron e instalaron su carga útil de ransomware en más de 18,000 estaciones de trabajo. El incidente no provocó la caída de la conectividad a Internet para los clientes del ISP, ni afectó a los servicios de telefonía fija o televisión por cable; sin embargo, muchos de los sitios web oficiales de Telecom Argentina han caído desde el sábado. Desde el inicio del ataque, varios empleados de Telecom ahora también han recurrido a las redes sociales para compartir detalles sobre el incidente y cómo el ISP ha estado manejando la crisis.

Infección

La carga se entregó en un archivo adjunto de correo electrónico que fue descargado y abierto por uno de los empleados. Finalmente, los atacantes secuestraron un administrador de dominio interno y lo usaron para extender la infestación a más de 18,000 estaciones de trabajo. Después de detectar la infiltración, la compañía envió una comunicación interna a sus empleados de servicio al cliente sobre el incidente. El aviso, que luego fue compartido por los empleados en varias plataformas de redes sociales, instó al personal a minimizar el acceso, incluso a través de VPN, a la red corporativa. También se les dijo a los empleados que no abrieran correos electrónicos de direcciones desconocidas y que apagaran inmediatamente cualquier computadora comprometida.

Ransomware REvil (Sodinokibi)

Según ZDNet, la compañía de telecomunicaciones fue golpeada por el ransomware Sodinokibi, también conocido como REvil, además de exigir un pago por desbloquear el acceso a los archivos, se sabe que los operadores del ransomware Sodinokibi aumentan la presión sobre las víctimas al amenazar con descargar su información confidencial en línea.

Sodinokibi, es un malware de tipo ransomware: cifra los archivos en máquinas infectadas y exige un rescate de las víctimas para restaurarlos. Se distribuye con un modelo de negocio de Ransomware como servicio (RaaS), lo que permite que cualquier persona que pueda pagar, podría convertirse en un operador del malware.

Sodinokibi apareció por primera vez en el radar de los investigadores de ciberseguridad en abril de 2019. En la actualidad sabemos que afecta tanto a las pequeñas como a las grandes empresas, destacando ya que los montos de rescate se ajustan al tamaño de la organización y a la cantidad de archivos cifrados. En relación con otros tipos de ransomware, tiene una alta tasa de éxito de recuperación después de realizar un pago de rescate, la herramienta de descifrado es relativamente sencilla de usar.

Malware como servicio

Malware como servicio es muy parecido a cualquier servicio cloud tradicional, pero en lugar de suscribirse a una aplicación inofensiva en la nube, los cibernautas pueden suscribirse a servicios de malware del mercado negro que les proporcionan todas las herramientas que necesitan para ejecutar ataques.

Vector de infección

La forma más frecuente para que Sodinokibi llegue a los dispositivos es a través de un correo electrónico malicioso en una campaña de phishing. El correo electrónico contiene un enlace que solicita a los destinatarios que descarguen un archivo zip que contiene el payload de Sodinokibi. Los atacantes distribuyen malware de esta manera, ya que hace que sea más fácil llegar a la víctima y también porque distribuir el malware en un archivo comprimido ayuda a evadir los sistemas de protección antivirus. El archivo comprimido normalmente contiene un archivo JavaScript ofuscado.

Comportamiento del ransomware Sodinokibi:

• Al comienzo del proceso de ejecución, el malware genera un mutex que tiene un nombre codificado. 
• Luego, descifra una configuración que está incrustada. En esta etapa, Sodinokibi intenta obtener privilegios del sistema ejecutándose como administrador.
• Después de la etapa de escalada de privilegios, el ransomware recopila datos básicos del sistema y del usuario. 
• En este punto, comienza el proceso de cifrado de datos. El ransomware cifra todos los archivos de usuario a menos que se encuentren algunas excepciones en la configuración.
• Aquí es donde un atacante puede personalizar su campaña. Luego se agrega una extensión a todos los documentos cifrados y se coloca un texto README en los directorios.
• El fondo de pantalla se cambia al mensaje de demanda de rescate.
• Los atacantes pueden personalizar el contenido de la nota de rescate y el archivo README en el archivo de configuración que, una vez más, proporciona flexibilidad al malware que le permite operar como ransomware como servicio ya que diferentes atacantes pueden exigir rescates de varias sumas y brindan instrucciones personalizadas a las víctimas.

Telecom Argentina S.A.

Telecom Argentina S.A. es una compañía de telecomunicaciones que opera en Argentina, Paraguay y Uruguay. Dentro de los límites nacionales, la empresa es conocida simplemente como Telecom.

Ofrece telefonía fija nacional e internacional, telefonía pública, Discado Directo Entrante (DDE), centrex, líneas punto a punto, 0800 y 0810, telecentros y monocanales. Además ofrece acceso a internet al hogar por diversas tecnologías (FTTH, HFC, VDSL, ADSL) con Fibertel, telefonía móvil con Personal y televisión con Cablevisión.

Fundada en 1990, la firma con sede en Buenos Aires tiene más de 16,000 empleados y posee uno de los tres operadores de telefonía móvil en el país.

Panorama

Tomando prestada gran parte de la funcionalidad del ya bastante potente ransomware GandCrab, Sodinokibi lo mejora aún más para convertirse en una verdadera fuente de poder del ransomware. Desafortunadamente, la evidencia sugiere que este malware es desarrollado por ciberdelincuentes experimentados que saben cómo construir y distribuir un virus y su accesibilidad, gracias al modelo de negocio de malware como servicio lo convierte en una amenaza real para empresas y personas de todo el mundo.

La cantidad inusualmente alta del rescate exigido puede indicar que los atacantes obtuvieron acceso completo al ISP y es probable que este sea uno de los ataques de ransomware más caros de este año.

El Servicio Secreto de EE.UU. ya había emitido una alerta a principios de este año diciendo que MSP (Managed Service Providers) y organizaciones como ISP son cada vez más tentadoras como blanco de cibercriminales. Dada la cantidad de datos confidenciales de los clientes que manejan, o los servicios comerciales críticos que brindan, estas víctimas son altamente susceptibles de pagar rápidamente el rescate para evitar daños y asegurarse de que el incidente permanezca de bajo perfil.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.