El ransomware SamSam ataca a entidades financieras peruanas
29/Ago/2018Ciberataques
El ransomware SamSam ataca a entidades financieras peruanas
29/Ago/2018Ciberataques
En 2016, se descubrió una nueva variedad de ransomware que explotaba vulnerabilidades existentes en los servidores denominada SamSam, hasta la fecha, la identidad de los hackers que lo usan sigue siendo desconocida. Pero este malware ha evolucionado y sigue en activo, siendo usado para realizar ataques a objetivos gubernamentales, entidades médicas y financieras, unas de las últimas víctimas han sido entidades financieras peruanas.
Se trata de una herramienta para realizar ataques dirigidos tratando de explotar las vulnerabilidades críticas de la red. No es un programa maligno que se distribuya a través de correos de spam, para tratar de comprometer a la organización, si no que se ejecuta de manera manual después de haber penetrado dentro de la red de la víctima.
¿Cómo funciona?
El atacante necesita encontrar una forma de acceder a la red objetivo, antes se hacía uso de exploits conocidos contra los servicios expuestos, actualmente hace uso de ataques por fuerza bruta para explotar las contraseñas del servicio RDP (Remote Desktop Protocol), que se usa para permitir el acceso remoto a otro equipo.
Una vez que el atacante logra penetrar a la red objetivo, utilizando las credenciales robadas, ataca otros puntos de la red y lo despliega de manera manual usando herramientas gratuitas y scripts propios para finalmente ejecutar el ransomware en los dispositivos que considere los blancos a secuestrar.
Una característica de estos ataques maliciosos es que la parte principal del código vienen cifrada, por lo que impide realizar un análisis en profundidad, tras una auditoria forense. Como es de esperar para poder ejecutarlo se debe descifrar, pero este paso lo realiza el atacante al ejecutarlo de manera manual. Por tanto, para conocer el programa maligno en toda su extensión sería necesario capturar al atacante en el momento de la ejecución y así obtener la contraseña, ya que una vez que se ejecuta lo primero que hace es borrar la contraseña usada para descifrarlo.
Mecanismo de ataque
¿A quien ataca?
Los motivos por los que un atacante se decida por su entidad pueden ser diversos; puede ser por su importancia, como en el caso de entidades financieras, o bien trate de buscar organizaciones con niveles bajos de seguridad a través de herramientas como Shodan (un motor de búsqueda que permite encontrar tipos específicos de equipos (routers, servidores, webcams…) conectados a Internet a usando una variedad de filtros), o que haya comprado algún listado de servicios vulnerables existente a través de la Darkweb.
¿Cómo funciona?
1 Una vez que el objetivo está fijado, el primer paso es lograr la intrusión en la red, para ello en este momento los tres mecanismos más usados son:
- Aprovechar vulnerabilidades de los servicios expuestos a Internet, en el pasado se aprovecharon las vulnerabilidades del servidor de aplicaciones JBoss
- Ataque por fuerza bruta sobre el servicio RDP, en busca de credenciales débiles.
- Ingeniería social, sobre todo a través de correos electrónicos.
2 Cuando que se ha logrado el acceso a la organización el atacante podrá ejecutar código en la máquina infectada. Pero en función de los privilegios logrados, lo normal es que no cuente con permisos de administrador, si no solo con los del usuario con los que se ha accedido.
3 Tras logar penetrar la red de nuestra organización y conseguir una cuenta sin privilegios en una máquina, el atacante debe lograr escalar privilegios para poder obtener permiso como administrador de dominio. Para este fin puede usar tanto herramientas propias como diferentes expoits de código abierto existentes. El atacante puede permanecer latente por largos periodos de tiempo en espera del acceso de un controlador de dominio para en ese momento robarle las credenciales.
4 Una vez logradas las credenciales de administrador de dominio el atacante pude escanear la red en busca de sus objetivos para establecer que sistemas son accesibles. Con este movimiento lateral y la información obtenida, seleccionará los objetivos a tacar y realizará las pruebas para comprobar que tiene acceso a dichas máquinas. Con la idea de comprometer el número máximo de dispositivos, el atacante realiza estas comprobaciones de manera manual, lo que además le permite pasar desapercibido más fácilmente.
5 Ahora y con el apoyo de herramientas de administración remota llega el momento de instalar y ejecutar SamSam en los objetivos designados. Gracias a la herramienta PsExec se realiza la ejecución, para ello se pasa la contraseña de descifrado como parámetro en el momento de la ejecución. Así el atacante mantiene en secreto el funcionamiento concreto del código malicioso, impidiendo en un análisis forense posterior encontrar y estudiar el código.
6 Después de lograr la infección de los dispositivos de manera coordinada, solo resta limpiar todos los rastros, dejar la nota de rescate y esperar a que la víctima pague. En la nota se especifica la cantidad en bitcoins y el monedero donde debe depositarse el dinero para obtener la contraseña que nos permita descifrar los dispositivos, el precio puede empezar en $500 dólares por máquina.
Uno de los puntos llamativos de este ataque es el servicio técnico que prestan los atacantes, que ofrecen una manual con las instrucciones sobre cómo acceder a una página web en la Deep web a través de Tor, donde poder contactarlos y en la que ofrecen descifrar algunos archivos de manera gratuita como señal de buena fe. También ofrecen soporte técnico para solucionar problemas relacionados con el pago y el descifrado posterior de los archivos. A veces llegando incluso a intercambiar una decena de mensajes con usuarios que han pagado para solucionar los problemas causados. En todo caso, Sofistic nunca recomienda pagar el rescate.
Sistemas de prevención
En estos momentos no se han encontrado fallos en el cifrado, por lo que una vez que se ha ejecutado estamos a merced de los atacantes. Pero si existen medidas de prevención contra el ransomware que debemos tomar antes de llegar a este punto.
Entre las medidas básicas está la realización periódica de copias de seguridad en entornos de usuario fácilmente restaurables, estas nos pueden salvar no solamente en casos como este, sino también en otros tipos de catástrofes. Es por ello vital tener un plan de copias de seguridad sobre dispositivos no conectados a la red y ejecutarlo de manera periódica.
Además de las copias de seguridad, nuestro plan de defensa debe contener las siguientes medidas básicas contra este tipo de intrusiones en la red:
- Utilizar mecanismos fuertes de autenticación; con contraseñas con un mínimo de longitud aceptable y variedad de caracteres alfanuméricas que dificulten los ataques por fuerza bruta. Mejor aún es el uso de sistemas de autenticación de dos factores (2FA) para confirmar la identidad del usuario.
- Exponer la cantidad mínima de servicios a internet; conociendo, controlando y limitando la exposición, se limitan los posibles vectores de ataque contra nuestra organización.
- Mantener actualizados los equipos; con los últimos parches de seguridad y las últimas versiones de software lanzada por los fabricantes, de manera que están cubiertas las vulnerabilidades conocidas.
- Segmentar y aislar los servicios en las distintas redes; impidiendo el movimiento lateral una vez que han logrado penetrar en nuestras redes.
- Monitorizar las redes; sobre todo en organizaciones complejas con herramientas automatizadas en busca de patrones anormales de comportamiento.
- Realizar cursos de concienciación a todo el personal de la empresa; puesto que la seguridad de nuestra organización se puede ver comprometida por el eslabón más débil.
- Tener e implementar unas políticas de seguridad razonables que no requieran un esfuerzo sobrehumano para ser respetadas y garanticen unos estándares de seguridad.
Llegados a este punto es necesario recordar que es mejor tomar medidas paliativas a priori e invertir en seguridad antes de vernos comprometidos que tener que usar medidas correctivas a posteriori una vez que hemos sido atacados. Por ello se debe invertir en seguridad informática, es necesario conocer el estado de nuestra organización a través de la ejecución de pruebas de penetración, se debe formar y concienciar a todo el personal y se debe mantener actualizados los equipos. Con estos objetivos en mente se debe apoyar desde la alta gerencia la implementación de las políticas de seguridad.
Artículos Relacionados
El otro riesgo de un ciberataque: la reacción en cadena
Toda empresa debe contemplar la situación de que su ciberseguridad va a ser vulnerada en algún momento, y evitar la improvisación cuando esto ocurra, preparando un plan de respuesta tanto a nivel técnico como en la comunicación del ataque.
Las lecciones a aprender del ciberataque de Darkside al oleoducto Colonial Pipeline
Desde el pasado jueves 7 de mayo, la costa este de EEUU vive una situación sin precedentes. Un ataque de ransomware ha dejado sin servicio el principal oleoducto de la compañía Colonial Pipeline. Se trata de un ataque que ha afectado a una de las infraestructuras más...
Sextorsión, ¿qué hacer cuando te extorsionan a través del email?
La sextorsión está viviendo un nuevo auge alrededor de todo el mundo, un problema frente al cual, las víctimas tienen poco tiempo para reaccionar y no saben cómo actuar. ¿Sabes qué debes hacer si te ocurre a ti?
0 comentarios