Investigación realizada por:
Ing. Rayner Robles Jiménez - CEH – CHFI – CCNA SEC – ISO 27000 LA
CISO ATTI Cyberlabs - rayner.robles@attilabs.com
Entre finales del el año 2018 e inicios del 2019, la región centroamericana fue víctima según los reportes de múltiples empresas de seguridad informática, de ataques asociados al ransomware y phishing.
El atacante indica que todos los archivos de la red de la empresa han sido cifrados. Además, envía instrucciones de cómo recuperarlos, lo cual incluye enviar cierta cantidad de bitcoins, e incluso ofrece una prueba de su veracidad descifrado hasta 3 archivos antes del pago.
En este evento en particular, ATTI Cyberlabs contactó al atacante usando una dirección de email segura, sin embargo este nunca respondió.
Este tipo de Ransomware conocido como Everbe 2.0 se propaga a través de software pirata o correos electrónicos con adjuntos infectados. Un porcentaje muy alto de los ataques son facilitados por infraestructuras de seguridad desactualizadas, unido a prácticas descuidadas del personal interno de las empresas. En este caso, el usuario malicioso que realizó el ataque, mediante un script deshabilitó los sistemas antivirus, habiendo logrado capturar los privilegios de administrador.
El atacante logró instalar un grupo importante de paquetes de software cuyo objetivo era el reconocimiento de todos los activos electrónicos en la red, el escaneo de puertos abiertos y desprotegidos, y la localización de carpetas compartidas de recursos. Luego de efectuar ese reconocimiento, utilizó las credenciales de administrador para ejecutar comandos en forma remota en los equipos que ya había identificado. La siguiente es una imagen del software malicioso instalado por el atacante. Mimikats por ejemplo fue utilizado para capturar las credenciales residentes en la memoria de los servidores. Con la herramienta z, el atacante deshabilitó los servicios importantes como el antivirus o sistemas de protección en los equipos o servidores, además, con psexec ejecutó otros comandos de forma remota.
ATTI Cyberlabs logró atender el incidente de manera urgente, aislar el software atacante, recuperar un porcentaje importante de información importante para el funcionamiento de la empresa, y corregir algunas prácticas que eran claramente una puerta de entrada para futuros ataques. El siguiente paso es la implementación de la metodología propietaria Shockware de ATTI Cyberlabs, la cual abarca once dominios de la empresa donde pueden existir vulnerabilidades y amenazas.
El incremento en este tipo de amenazas ha puesto en alerta a todos los responsables del aseguramiento de los activos de información de las empresas. Sin embargo es importante comprender que no solo las grandes empresas corren riesgo, si no también todos los usuarios de tecnologías y es por ello por lo que deben tomar medidas para proteger su información de los delincuentes.
Nuestra región no está exenta de este tipo de amenazas. En los últimos meses gran cantidad de personas han tenido pérdidas considerables por este tipo secuestro de información. Los ciberdelincuentes encuentran formas de vulnerar los sistemas de seguridad con el uso de herramientas sofisticadas de Hacking o mediante técnicas de ingeniería social. Logrando comprometer los sistemas, implementando ataques de phishing, en los cuales les hacen creer a las personas que el archivo adjunto que lleva en el correo es importante y que es de un origen confiable. Creando la necesidad de descargarlo y abrirlo o accesando a los links que se facilitan en el cuerpo del correo, solo eso basta para que el equipo se contamine con una algún código malicioso que genera un acceso remoto conocido como Backdoor ( puerta trasera) que facilita el acceso a los sistemas al atacante.
El software malicioso Ransomware usualmente cifra los activos informáticos esenciales, como por ejemplo imágenes, audios, documentos de Office, Bases de datos, y otros. Luego procede a dejar un mensaje en la pantalla donde ofrece instrucciones para poder recuperar todos los archivos que están cifrados y que no son accesibles ni utilizables. El usuario afectado se encuentra en un estado de impedimento de ejecución de su trabajo y su empresa se encuentra detenida, generando pérdidas cuantiosas. Esto obliga en ocasiones a ceder ante los requerimientos realizados por el ciberdelincuente.
No solo las empresas son afectadas por estos ataques, cualquier persona que tenga acceso a un equipo electrónico; portátil, tableta o teléfono celular puede ser una víctima en potencia, ya que lo que buscan los atacantes es obtener un beneficio económico mediante el pago de los rescates, a cambio de entregar las claves de descifrado de los activos informáticos que han sido cifrados. Es importante destacar que el pago mediante monedas electrónicas como el Bitcoin o las transferencias de dinero, no es garantía de que los ciberdelincuentes entreguen las llaves de descifrado, ya que es posible que generen un nuevo timo y un perjuicio mayor al usuario afectado.
Una de las principales causas que han sido identificadas y que también ha sido considerado un factor importante para que este tipo de ataque se haya incrementado considerablemente en estos meses, son los constantes ataques phishing que han contaminado los equipos electrónicos con un código malicioso. Este código roba la lista de contactos y envía correos masivos a todos los correos electrónicos en el equipo afectado. Además, el uso de software freeware, crack (aplicaciones que sirven para activar licencias de software de forma ilegal) han facilitado que el código malicioso se infiltre en estas aplicaciones descargadas desde sitios en internet que son poco seguros.
La cantidad y virulencia de los ataques aumentan día con día. No permita que su empresa sea atacada. Los costos de pérdida de información, falta de operatividad, e incluso reputación ante sus clientes, proveedores y colaboradores, son demasiado altos como para dejarlos en manos del descuido. Contacte a ATTI Cyberlabs y déjenos ayudarle a contruir su esquema de protección.