Principales amenazas latentes en el panorama de ciberinteligencia nacional

El sábado 5 de septiembre mediante un comunicado oficial, el CSIRT Gobierno de Chile informó sobre una campaña activa de ransomware dirigida a entidades privadas de la economía nacional en las últimas horas, la que habrían causado afectación limitada en esos ambientes. El día de hoy, nuevamente publicó que uno de los vectores de ataques que está circulando en el ecosistema nacional es el Ransomware Sodinokibi.

Estos comunicados son reflejo del panorama de inteligencia que se encuentra activo en Chile. Durante agosto y principios de septiembre, se han mantenido activas campañas de malware entre las que destacan variantes de Ransomware, RAT e InfoStealer.

SOFTWARE MALICIOSO

Los principales malware que se encuentran activos a nivel nacional son:

1. Sodinokibi Ransomware
2. NetWire RAT
3. Adwind RAT
4. Mekotio
5. AZORult
    

Sodinokibi

Hoy en día Sodinokibi es el ransomware más utilizado del mercado, destacando por ser un malware de modalidad RaaS (ransomware-as-a-service), el cual al igual que otros ha adquirido la táctica de extorsión para asegurar el pago de sus víctimas.

Sodinokibi también conocido como REvil, fue visto por primera vez en abril de 2019 luego de que los atacantes explotaran masivamente una vulnerabilidad en servidores Oracle WebLogic (CVE-2019-2725 / CVE-2019-2729). Su objetivo principal es encriptar la información en el mayor número de equipos para luego exigir un rescate económico por la recuperación de los activos digitales. Sodinokibi es un ransomware sofisticado y complejo en su estructura de desarrollo. Se le han encontrado similitudes con otro Ransomware bajo el nombre de GandCrab y se tiene la sospecha de que fue creado por el mismo grupo de ciberdelincuentes (rusos). La gran diferencia que existe actualmente con estos dos Ransomware es que Sodinokibi está mucho más actualizado.

Características de Sodinokibi

• Si la víctima se niega a pagar, los datos son publicados y/o subastados en Internet.
• Los pagos de ransomware Sodinokibi suelen ser más bajos que el promedio del mercado de ransomware. Afecta tanto a las pequeñas empresas como a las grandes empresas
• Tiene una alta tasa de éxito de recuperación después de realizar un pago de rescate, la herramienta de descifrado es relativamente sencilla de usar.
• Es lo que se denomina Ransomware-as-a-Service (RaaS), donde un grupo de personas mantiene el código y otro grupo denominado como afiliados, difunde el Ransomware por diferentes plataformas y campañas de correo spam masivo.

Vectores de ataque evidenciados

• Explotación de vulnerabilidades, principalmente CVE-2018-8453 / CVE-2019-2725 / CVE-2019-2729
• Explotación de vulnerabilidades RDP
• E-mail phishing

NetWire RAT

Descubierto por primera vez en el año 2012, el malware ha experimentado un ciclo constante de evolución y actualizaciones por parte de sus desarrolladores, ya que desde sus inicios ha sido ofrecido comercialmente en foros clandestinos.

Puede robar información del sistema, descargar y ejecutar otras variantes de malware adicionales, leer historiales de Internet, recolectar credenciales, incluidas las utilizadas por navegadores y clientes de correo electrónico, instalar keyloggers junto con simular operaciones de teclado y mouse.

Características de NetWire

• Posee técnicas anti-análisis, que le permiten no ejecutarse en sandboxes
• Roba información de la víctima
• Roba credenciales de navegadores
• A diferencia de otros troyanos de acceso remoto, puede apuntar a sistemas operativos incluidos Windows, Linux y MacOS.
• Se comunica a C&C de forma persistente

Vectores de ataque evidenciados

• Phishing (malspam) [archivos .uue / .rar / .pdf ]
• Spear Phishing (malspam) [archivos .uue / .rar / .pdf ]

Adwind RAT

Adwind RAT, también llamado Unrecom, Sockrat, Frutas, jRat y JSocket es un malware troyano de acceso remoto (RAT) que se ofrece como servicio (Malware-as-a-Service [MaaS]), que los atacantes pueden usar para recopilar información de las máquinas infectadas. Fue visto por primera vez en el año 2012 llegando a ser una de las RAT más populares del mercado en 2015, se estima que su origen proviene de México.

Características

• Keylogger
• Roba contraseñas almacenadas en caché y obtiene datos de formularios web
• Toma capturas de pantalla, fotografías y graba videos desde la cámara web
• Puede grabar sonidos desde el micrófono de la víctima
• Roba archivos
• Recopila información general del sistema y del usuario
• Robar claves para carteras de criptomonedas
• Puede administrar SMS en sitemas Android
• Roba certificados VPN

Vectores de ataque evidenciados

• Phishing (malspam) [archivos .jar / .zip adjuntos]
• Phishing (links maliciosos) [descarga del malware desde sitios comprometidos]

Mekotio

Un troyano bancario que apunta principalmente a Brasil, Chile, México, España, Perú, España y Portugal cuya característica más notable en las variantes más recientes es el uso de una base de datos SQL como servidor de C&C.

Desde su primera detección, en marzo de 2018, los cibercriminales detrás de esta amenaza le han ido aplicando cambios y actualizaciones. Si bien estos cambios han agregado, quitado y/o modificado funcionalidades, el objetivo se mantiene constante: hacer lo posible para obtener dinero o credenciales de acceso del servicio de banca electrónica de sus víctimas.

Características

• Posee técnicas anti-análisis, que le permiten no ejecutarse en sandboxes, monitoreando la presencia de procesos como VBoxService.exe
• Cuenta con protección Anti-debugging (IsDebuggerPresent)
• Modifica su comportamiento según el lenguaje del sistema operativo infectado
• Cuenta con funcionalidad de auto-destrucción, es decir, para desactivarse y detener la infección
• Contiene una gran cantidad de strings cifrados mediante un algoritmo similar a los utilizados en otros troyanos bancarios de Latinoamérica
• Busca información sobre productos de seguridad instalados en el sistema
• Es distribuido junto con la biblioteca SQLite3.dll
• Robo de credenciales bancarias con ventanas FALSAS
• Robo de contraseñas almacenadas por navegadores web 
• Reemplazo de direcciones de billeteras de bitcoin

Vectores de ataque evidenciados

• Correo que aparenta provenir de Servicio Impuestos internos (SII), en el cual se envía el comprobante de pago de un impuesto. 
• Correo con supuesta factura de deuda con una compañía de servicios de telefonía de Chile
• Supuesto correo de chilexpress dando aviso de depósito.

AZORult Troyano

Visto por primera vez en enero de 2016, AZORult es un troyano tipo InfoStealer que puede robar información bancaria, incluidas contraseñas y detalles de tarjetas de crédito, así como criptomonedas. Este malware ladrón de información que se actualiza constantemente no debe tomarse a la ligera, ya que sigue siendo una amenaza activa. El malware descarga su ejecutable malicioso mediante la explotación de la vulnerabilidad CVE-2017-11882 Microsoft Office Equation Editor.

Características

Vectores de ataque evidenciados

• ExploitKits (provenientes de la ejecución de otros malware)
• Explotación de protocolo RDP
• Phishing (malspam) [archivos ofimática adjuntos / .exe / .iso]
• Phishing (links maliciosos) [descarga del malware desde sitios comprometidos]

Panorama de Inteligencia en Chile

Chile no está exento de estos ataques, las campañas antes descritas están afectando a diversas industrias y entidades privadas de la economía nacional. Las comunidades de Ciberseguridad ya se encuentran difundiendo información de algunas campañas de malware presentes en las últimas horas, tal como lo hemos visto con la noticia en desarrollo y comunicado oficial de Banco Estado.

Si bien no es posible confirmar la asociación de actividad maliciosa a Sodinokibi, NetWire, Adwind, Mekotio ni AZORult, por la confidencialidad de las empresas, es claro que dentro del panorama sudamericano y nacional, estos malwares son los que presentan mayor presencia.

El llamado es a tomar las precauciones en cada uno de sus sistemas incrementando el monitoreo y evaluar si las características del riesgo requieren del perfeccionamiento de algún procedimiento o de la implantación de alguna medida extraordinaria.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Verificar que su organización no está siendo afectada por los CVE-2018-8453 / CVE-2019-2725 / CVE-2019-2729 / CVE-2017-11882, efectuar las gestiones de parcheado si es que corresponde.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.