Qualys: Nueva víctima de Ransomware CL0p

04 Marzo 2021
Alto

En diciembre de 2020, una cadena de ataques tuvo como objetivo la aplicación de intercambio de archivos Accellion FTA explotando vulnerabilidades de día cero que permitía a los atacantes robar archivos almacenados en los servidores. 

Hasta la fecha, Clop ransomware ha estado extorsionando a estas víctimas publicando los datos robados en su sitio de filtración de datos de ransomware.

Es importante destacar que hace un año, no más de 5 grupos de ransomware habían desarrollado la práctica de difundir y exfiltrar información de las víctimas que no pagaban los rescates. A la fecha, más de 20 familias de ransomware albergan sitios web dedicados a la filtración de datos, donde los nombres y archivos de sus víctimas que no pagan, se publican impactando la imagen reputacional y los procesos confidenciales de sus negocios y clientes.

 

Dispositivos Accellion FTA

Accellion FTA ayuda a empresas de todo el mundo a transferir archivos grandes y confidenciales de forma segura utilizando una nube 100% privada, local o alojada.

Recientemente, Accellion ha anunciado el final de la vida útil del software FTA , una de las razones es que el software FTA es el producto heredado de Accellion con al menos 20 años de antigüedad.

 

Víctimas Evidenciadas

Investigadores han estado rastreando estas infracciones relacionadas con Accellion y han podido descubrir algunas de las víctimas de la explotación de vulnerabilidades en diciembre de 2020, entre ellos:

  • Supermercados Kroger.
  • Singtel.
  • El Instituto de Investigación Médica QIMR Berghofer.
  • El Banco de la Reserva de Nueva Zelanda.
  • La Comisión Australiana de Valores e Inversiones (ASIC).
  • La Oficina del Auditor del Estado de Washington ("SAO").
  • Empresa de servicios técnicos ABS Group.
  • Bufete de abogados Jones Day.
  • Corporación de ciencia y tecnología Fortune 500 Danaher
  • Especialista en geodatos Fugro
  • Universidad de Colorado
  • Qualys

 

Qualys la última víctima en ser extorsionada

Recientemente, la banda de ransomware Clop publicó capturas de pantalla de archivos supuestamente pertenecientes a la empresa de ciberseguridad Qualys. Los datos filtrados incluyen órdenes de compra, facturas, documentos fiscales e informes de escaneo.

Según lo informado por Ben Carr, CISO de Qualys:

  • La empresa tenía un dispositivo Accellion FTA ubicado en su red.
  • Sin embargo, no hay impacto en los entornos de producción de Qualys. Todas las plataformas de Qualys continúan siendo completamente funcionales y en ningún momento hubo impacto operativo.
  • Al realizar una investigación del incidente junto a Accellion, Qualys notificó de inmediato y directamente a aquellos clientes afectados por este acceso no autorizado. La investigación confirmó que el acceso no autorizado se limitó al servidor FTA y no afectó a los servicios prestados ni al acceso a los datos de los clientes alojados en Qualys Cloud Platform.
  • Asimismo, precisaron que no se ha accedido a archivos intercambiados con “Clientes del Sur de América Latina” en el incidente de día cero de Accellion FTA. Por lo que los datos de clientes en Chile no estarían comprometidos. 
  • Finalmente, respecto a los artículos recientes sobre el ransomware CL0p que afecta a Qualys, reiteró que el incidente se relaciona con el mismo exploit de día cero en la solución de terceros Accellion FTA informada anteriormente por Qualys.

 

Comunicado de Accellion

En su  comunicado de prensa, Accellion dice que: “había 300 clientes usando su antiguo File Transfer Appliance (FTA) de 20 años. De estos clientes, menos de 100 fueron víctimas de los ataques de Clop y FIN11, y menos de 25 parecen haber sufrido robos de datos importantes.”

Accellion lanzó parches de seguridad en diciembre de 2020 y continúa con sus esfuerzos de mitigación. La empresa recomienda encarecidamente que los clientes de FTA migren a Kiteworks, una plataforma de firewall de contenido empresarial que tiene una base de código diferente.

 

FireEye Mandiant

Investigadores de incidentes de FireEye Mandiant analizaron estos ataques para algunos de sus clientes y han identificado un conjunto de actores de amenazas (denominados UNC2546 y UNC2582) con conexiones con FIN11 y la banda de ransomware Clop como el grupo criminal responsable de un ataque global de día cero en febrero de 2021 contra los usuarios del Accellion File Transfer Appliance (FTA).

Los intentos de extorsión incluyeron correos electrónicos diseñados para víctimas específicas, incluida la información de contacto y una amenaza de exposición de datos si las víctimas no cooperan.

El monitoreo del sitio de CL0P - LEAKS reveló que se han cumplido las amenazas para publicar datos robados.

La explotación de vulnerabilidades de Accellion FTA utilizando múltiples días cero, ya han sido parcheadas y han sido identificadas con los siguientes CVE:

  • CVE-2021-27101 - Inyección SQL a través de un encabezado de host diseñado
  • CVE-2021-27102 - Ejecución del comando del SO a través de una llamada de servicio web local
  • CVE-2021-27103 - SSRF a través de una solicitud POST diseñada
  • CVE-2021-27104 - Ejecución de comandos del sistema operativo a través de una solicitud POST diseñada

 

Ransomware CL0p

Clop es un ransomware que utiliza la extensión ".clop" después de haber cifrado los archivos de la víctima. Otra característica única que pertenece a Clop está en la cadena: "Dont Worry C|0P" incluido en las notas de rescate. Es una variante del ransomware CryptoMix, pero además intenta deshabilitar Windows Defender y eliminar Microsoft Security Essentials para evitar la detección de espacio de usuario.

Según el último análisis de la amenaza, CL0P siguió siendo un valor atípico constante, manteniendo un 43% de sus ataques dirigidos hacia Alemania y el 28,6% dirigido a EE. UU. Este hecho se alinea con la inteligencia de que CL0P es el arma de ransomware elegida por ciertos grupos de amenazas persistentes avanzadas (APT) que tienen más probabilidades de apuntar a las víctimas con anticipación en función del valor percibido, la industria y la ubicación.

Dado su evidente enfoque en las características regionales y ocupacionales de sus víctimas, la forma en que seleccionan sus objetivos es muy acuciosa y diferente de los ransomware tradicionales, que a menudo se ven comprometidos indiscriminadamente y en masa por campañas de malware de productos básicos.

Con base a lo anterior, a partir de este año el grupo identificado como FIN11 también adoptó la táctica de robar datos y amenazar con liberarlos para obligar a las víctimas de ransomware a pagar. El grupo ha creado un sitio web oscuro donde han publicado datos parciales de empresas que se negaron a pagar.

Más detalles, en nuestro boletín del 15 de octubre 2020.

 

Panorama

Todavía no está claro si la banda de ransomware CL0p realizó los ataques a los dispositivos Accellion FTA o se está asociando con otro grupo para compartir los archivos y extorsionar a las víctimas públicamente.

Dada la reciente incorporación del grupo al robo de datos y la extorsión en sus operaciones de ransomware, los actores asociados también pueden optar por priorizar a las víctimas que probablemente tengan datos confidenciales o patentados, como firmas de abogados o empresas de investigación y desarrollo. Este patrón de explotación selectiva podría eventualmente llevar a los actores de FIN11 a buscar asociaciones adicionales con otros miembros de la comunidad de ciberdelincuentes que tengan los recursos para monetizar los accesos que obtiene FIN11.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Proteger el protocolo RDP:
    • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
    • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
    • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
    • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
    • Habilitar la autenticación de nivel de red (NLA).
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

El listado de las CVE se adjunta a continuación:


Tags: #qualys #ransomware #clop #accellion #FTA #leak #CVE-2021-27101 #CVE-2021-27102 #CVE-2021-27103 #CVE-2021-27104


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.