Grupo Hotarus Corp evidenciado en campañas que afectarían a importantes empresas de Ecuador

30 Julio 2021
Alto

Un grupo de ciberdelincuencia llamado 'Hotarus Corp' ha Informado de ataques al Instituto Ecuatoriano de Seguridad Social (IESS), Servicio de Rentas Internas (SRI) y a uno de los bancos más grandes de Ecuador, Banco Pichincha, donde afirman haber robado datos internos.

Según el grupo, lograron robar “información secreta ministerial, correos electrónicos, información de empleados y contratos”.

Hotarus Corp

Hotarus Corp es un grupo de amenazas que apareció en febrero de 2021 informando violaciones de datos en Twitter y sitios web objetivo desfigurados. El grupo de amenazas ha apuntado a las organizaciones ecuatorianas como el Banco Pichincha, el Ministerio de Finanzas de Ecuador.

Algunos alias conocidos son:

  • hotarusteam
  • corphotarus
  • Hotarus Team
  • Hotarus Corp

Una de sus principales herramientas de ataque son el ransomware denominado Ronggolawe o AwesomeWare. 

El 15 de marzo de 2021, Hotarus Corp fue evidenciado vendiendo en RaidForums 30 millones de registros de ciudadanos ecuatorianos. Según los atacantes, los datos fueron robados del Instituto Ecuatoriano de Seguridad Social (IESS) y del Banco del Instituto Ecuatoriano de Seguridad Social (BIESS). 

Recientes ataques de Hotarus Corp

Los ciberactores detrás de Hotarus Corp habrían atacado ya en febrero al Ministerio de Finanzas local, utilizando un ransomware basado en PHP para cifrar un sitio que alojaba un curso en línea. Poco tiempo después, los atacantes filtraron en un foro de hackers un archivo de texto que contenía más de 6 mil combinaciones de nombres de usuario y contraseñas hash. Según el grupo, lograron robar “información secreta ministerial, correos electrónicos, información de empleados y contratos”.

De acuerdo a información proporcionada por el Investigador de seguridad Germán Fernández, "Hotarus Corp" ha actualizado su sitio en la Dark Web para presentarse como un nuevo portal de extorsión en Latinoamérica.

Se ha podido evidenciar en su portal de extorsión tres publicaciones que hacen referencia a víctimas en Ecuador.

  • Banco Pichincha y Filiales: Banco privado más grande de Ecuador
  • Petro Ecuador: EP Petroecuador consolida la cadena de valor del sector hidrocarburífero en: exploración y producción, transporte, refinación, comercialización nacional y comercio internacional, con operaciones en 22 provincias del país.
  • IESS / SRI: Instituto Ecuatoriano de Seguridad Social (IESS) y Servicio de Rentas Internas (SRI). 

Portal de extorsión “Hotarus Blog”

Banco Pichincha

El banco confirmó el ataque en una declaración oficial pero afirma que fue un socio de marketing quien estaría comprometido y no sus sistemas internos. Este comunicado es muy similar al utilizado por la empresa para informar el incidente de seguridad ocurrido en febrero de 2021.

Banco Pichincha continúa diciendo que los atacantes utilizaron la plataforma comprometida para enviar correos electrónicos de phishing a los clientes e intentar robar información sensible para realizar "transacciones ilegales".

Extracto comunicado oficial 29 de julio de 2021:

“Reiteramos nuestro compromiso con proteger la privacidad de los datos de nuestros clientes y ratificamos que los sistemas informáticos de Banco Pichincha no han sido vulnerados en ningún momento como se ha difundido en las últimas horas. 

En febrero pasado, hubo un acceso no autorizado a los sistemas de un proveedor de servicios de mercadeo. Los datos publicados en redes sociales corresponden a dicho incidente, mismo que fue explicado oportunamente por el Banco.”

Ransomware Ronggolawe/AwesomeWare

Este ransomware en particular fue subido a GitHub hace un año por el grupo bug7sec que,  según su página de Facebook, son "consultores comerciales" de Yakarta, Indonesia. Dado que este ransomware es de código abierto, se puede encontrar incorporado en otros proyectos dudosos, ya sea modificado en base a intenciones maliciosas o utilizado para esos fines.

AwesomeWare es un ransomware dirigido a servidores web PHP. Los sitios web infectados por este ransomware suelen ejecutar plataformas CMS como Magento, WordPress, Joomla, entre otros.

Vectores de ataque

Como este ransomware está dirigido a los servidores web, los ciberactores han adaptado sus vectores de ataque para infectar a su objetivo. Hay muchas formas en las que un atacante puede ejecutar código malicioso en un servidor web, pero dos de los métodos más comunes son:

  • La carga de archivos maliciosos (malicious file upload: MFU)
  • La ejecución remota de código (RCE)

 Ambos se basan en vulnerabilidades de seguridad en la base del código de la aplicación del servidor web o en una biblioteca de terceros que utiliza.

¿Cómo funciona AwesomeWare?

Una vez que el atacante obtiene el código malicioso en el servidor, lo puede utilizar para cifrar o descifrar los archivos en el servidor. Si el atacante elige infectar y cifrar el servidor, suceden dos cosas:

  • Primero, AwesomeWare cambia el archivo ".htaccess" para redirigir a los usuarios a un nuevo archivo llamado "shor7cut.php" y genera el archivo que contiene la nota de rescate con los detalles de contacto del atacante.
  • Segundo, AwesomeWare escanea los directorios de la aplicación y cifra los archivos en ellos usando la función PHP “mcrypt_encrypt” creando un texto cifrado compatible con AES (tamaño de bloque Rijndael = 128).

Panorama

Si bien Hotarus Corp es un ciberactor de reciente aparición, ha demostrado importantes capacidades y herramientas en sus ataques. A modo de ejemplo, la utilización de una empresa de marketing como plataforma de lanzamiento hacia los sistemas internos del banco e implementar ransomware para cifrar dispositivos.

Además, es importante destacar que ya en febrero este ciberactor habría comprometido a algunas de sus víctimas, siendo probable que este hecho les haya permitido desarrollar de mejor forma los ataques evidenciados en este periodo. Si bien Hotarus Corp ha hecho noticia por objetivos dentro de ecuador la creación de un portal de extorsión lo posicionan como una amenaza presente a nivel Latinoamericano.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Proteger el protocolo RDP:
    • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
    • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
    • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
    • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
    • Habilitar la autenticación de nivel de red (NLA).
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #Hotarus Corp #APT #Malware #Ransomware #Ronggolawe #AwesomeWare
  • Productos Afectados
  • Producto Versión
    . .


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.