viernes, 30 de julio de 2021

Reflexiones sobre los últimos Ciberataques en Ecuador

Publicado en julio 30, 2021

Durante las últimas semanas en Ecuador distintas Instituciones públicas y privadas han sido el centro de atención gracias a que cibercriminales publicaron en la Dark Web supuesta información de estas empresas, lo que abrió la posibilidad de considerar si estas instituciones (o a su vez empresas terceras que trabajan y comparten información con las entidades afectadas) quizás hayan sido víctimas de ciberataques, este post te contamos brevemente algunas reflexiones sobre el tema.

El primer caso con el que se abre este artículo es el de la Corporación Nacional de Telecomunicaciones (CNT), misma que a la fecha admitió que sufrió un Ciberataque, que de acuerdo a la evidencia técnica y a información pública este fue realizado por los creadores de la familia de ransomware conocida como RANSOMEXX.

Este grupo de cibercriminales surgió y empezó sus actividades maliciosas a mediados de 2020, sin embargo al día de hoy han atacado un número considerable de empresas alrededor de todo el mundo con el mismo modus operandi. De acuerdo al portal de filtraciones que se encuentra en la Dark Web, algunas de sus víctimas más recientes incluyen pero no se limitan a:
  • - Corporación Nacional de Telecomunicación - https://www.cnt.gob.ec
  • - Walsin - https://www.walsin.com
  • - WT Microelectronics - https://www.wtmec.com
  • - Universal Assistance S.A. - https://www.universal-assistance.com
  • - STEMCOR - https://www.stemcor.com
  • - Wallace & Carey - https://www.wacl.com
  • - Samvardhana Motherson Peguform - https://www.smp-automotive.com
  • - Nobiskrug - https://www.nobiskrug.com
  • - Ajuntament de Castelló - https://castello.es
  • - Consiglio Nazionale del Notariato - https://www.notariato.it
  • - Pertamina EP - https://www.pertamina.com
  • - CalAmp (NASDAQ: CAMP) - https://www.calamp.com
  • - Soluzioni Infrastrutturali Telefoniche ed Elettriche S.p.A. - https://www.sittel.it
  • - Indura SA - https://indura.net
  • - Vistra - https://vistra.com
  • - Ultrapar Participações S.A. - https://www.ultra.com.br
  • - St. James Parish Credit Union - https://www.stjpcu.com
  • - Texas Department of Transportation - https://www.txdot.gov
  • - RPM Performance Coatings Group - http://www.rpmpcg.com
  • - IQPC Corporate - https://www.iqpc.com
De acuerdo a Digital Shadows la actividad de este grupo de cibercriminales durante 2021 se puede resumir con la siguiente gráfica, en donde se visualiza su posición con respecto a otros grupos de cibercriminales más famosos a nivel mundial:
Figura 0. Actividad de Grupos de Ransomware en Q1 y Q2 del 2021

Aunque en la gráfica parezca que es un grupo con poca actividad, en realidad ha destacado por ciertos aspectos, tal como lo menciona Kaspersky en su blog, donde mencionan que RANSOMEXX también ataca a sistemas GNU Linux y no solamente Microsoft Windows.

Continuando con el detalle de cómo trabaja este grupo de cibercriminales, es importante mencionar que poseen un portal web, en donde amenazan a la víctima con publicar la información secuestrada, este ataque se conoce como Doble Extorsión, porque se compone de 2 partes:

  • 1. Los sistemas de la empresa víctima son atacados por el ransomware, el mismo que cifra toda la información que pueda encontrar mientras se propaga por los diferentes equipos de la red afectada, dejando así los sistemas y aplicaciones inutilizables.

  • 2. Mientras se lleva a cabo el proceso de cifrado es común en algunos grupos cibercriminales que estos roben la información de la empresa víctima, para chantajearla posteriormente. Normalmente incluyen documentos internos que pueden llegar o no a ser sensibles e incluso críticos.

Cumplidas las 2 etapas anteriores, el atacante demanda un pago para entregar la llave con la que pueden recuperarse los archivos a su estado original y a su vez amenazan a la empresa víctima con publicar la información robada, de ahí el nombre Doble Extorsión. Para esto utilizan el portal en la Dark Web con dominio .ONION (cosa que imposibilita o al menos dificulta en gran parte el rastreo de su origen y poder darlo de baja).

En la siguiente imagen podemos observar el portal original de estos cibercriminales, donde se visualiza que su última víctima publicada es CNT:

Figura 1. Portal del Grupo autor del Ransomware RANSOMEXX en la Dark Web

Ahora que se conoce un poco mejor al grupo cibercriminal que realizó el ataque, comentaremos brevemente y manteniendo la confidencialidad del caso, los hechos desde nuestro punto de vista investigativo.

El primer indicador que causó una alerta de sospecha fue el 15 de Julio a las 02h51 AM (UTC-5) Hora local, cuando sensores de nuestro CSIRT empezaron a detectar posibles archivos cifrados con extensión ".g0b3c" que habían sido analizados por plataformas con múltiples motores antivirus (VT).

Figura 2. Archivos con extensión .g0b3c que habían sido subidos para análisis antivirus

Por lo que se puede apreciar en la imagen anterior (que muestra los archivos en Hora UTC), habían diferentes archivos de VMWare afectados por un posible ransomware, ya que luego de su extensión nativa, estaba colocada una extensión inusual, patrón común que sigue el malware al cifrar un archivo y eliminar el original.

Durante horas de la mañana (empezando la jornada laboral), recibimos varios contactos por parte de algunos clientes, consultando mayor información sobre un posible ataque de ransomware, una de las imágenes cortesía de uno de nuestros clientes y seguidor de nuestros canales es la siguiente:

Figura 3. Terminal de Usuario final afectada por ransomware (archivos con extensión ".g0b3c")

Procedimos a comunicar la información recabada hasta ese momento y procedimos a realizar la investigación con los datos adicionales. Al abrir la nota de rescate que lleva por nombre "!_GOB_EC_README_!", se podía encontrar el mensaje dejado por el grupo de cibercriminales junto con una dirección URL alojada en la Dark Web.

Se procedió a visitar la URL con las debidas precauciones del caso, al cargarse la página se podía observar la nota de rescate dejada por los cibercriminales, mismos que afirmaban tener más de 190GB de información de la empresa afectada, la captura con la censura respectiva se adjunta a continuación:

Figura 4. Portal alojado en la Dark Web con archivos de muestra supuestamente robados de la empresa víctima

En este portal se encontraban documentos que de acuerdo a marcas de agua tenían clasificación CONFIDENCIAL, y en el pie de página se encontraba una cuenta regresiva (contador), que daba a la empresa víctima un par de días de tiempo antes de publicar la información que supuestamente robaron. Mientras tanto durante todo ese día los sistemas de CNT presentaban intermitencias, esto también fue reportado en redes sociales por múltiples usuarios por lo que luego la Institución publicó el siguiente comunicado oficial:

Figura 5. Comunicado Oficial de CNT el 15 de Julio 2021

A su vez, en redes sociales, múltiples usuarios compartieron el siguiente comunicado, que de acuerdo a la plantilla y su apariencia, podría corresponder presumiblemente a un comunicado interno:

Figura 6. Comunicado aparentemente interno filtrado en redes sociales sobre CNT

Dadas las evidencias anteriores, se dio notificación del posible incidente a través de nuestros canales de información. Posteriormente el 16 de Julio CNT presentó la denuncia correspondiente ante la Fiscalía.

Figura 7. Comunicado Oficial de CNT el 16 de Julio 2021 sobre denuncia ante Fiscalía

Luego de pasados varios días, el contador del portal de la Dark Web llegó a cero y como es costumbre de estos atacantes, procedieron a compartir la supuesta información sustraída de la empresa víctima. Es importante destacar que, aunque afirmaron tener más de 190GB de información, solo publicaron un total de 11.23 GB comprimidos, que al descomprimirse llegaban a pesar aproximadamente 13GB.

Figura 8. Portal de los atacantes en la Dark Web con la supuesta información robada de CNT

De este caso y otros conocidos a nivel internacional, se puede observar que es común que los atacantes exageren en muchas ocasiones la cantidad de información que tienen en su poder, esto con el fin de incrementar la presión en la empresa víctima y con esto lograr mayor posibilidad de que la empresa considere realizar el pago. Sin embargo, hasta la fecha de este artículo, no se ha publicado mayor información en el portal de los atacantes, llegando solo a 11.23GB la data filtrada. Eso sí, no se descarta la posibilidad de que los atacantes tengan más información en su poder y no la hayan compartido abiertamente en su portal.

El resto es ya bien conocido por todos a través de los diferentes medios de prensa y multimedia. Por lo que con esto damos fin al primer caso.

El segundo caso engloba a múltiples organizaciones afectadas por un mismo grupo cibercriminal que causó ruido desde Marzo 2021 (fecha en la que surgió en redes, aunque sus cuentas fueron eliminadas por violar los términos de servicio), donde afirmó haber hackeado a múltiples instituciones como lo son: Instituto Ecuatoriano de Seguridad Social (IESS), Ministerio de Finanzas, Banco Pichincha, entre otros.

Este grupo de cibercriminales, acostumbra ofrecer en venta en foros de hacking la data robada, mientras intenta también extorsionar a sus víctimas. No se hablará del caso sonado por marzo del 2021, para entrar más en detalle en lo que fue publicado en estos días.

El grupo de cibercriminales (como se autodenominan), publicó en un foro de hacking el siguiente post, con un enlace .ONION en donde ofrecía muestras gratis de información supuestamente sustraída de las instituciones mencionadas en la siguiente Imagen:

Figura 9. Post de los cibercriminales en un Foro de Hacking ofreciendo a la venta información de varias Instituciones ecuatorianas

Al ingresar al portal se podían encontrar múltiples archivos de muestra de cada institución que supuestamente fue afectada y los atacantes indicaban la fecha de límite de pago, además de la supuesta cantidad de información robada.

Figura 9. Portal en la Dark Web con muestras de supuesta información de las empresas afectadas

Nuestro equipo procedió a validar la data de muestra y corroboró que correspondía a la misma información filtrada por el mes de marzo 2021 en un foro de hacking, sin embargo, recién el día de ayer 29 de Julio, se subieron más archivos, por lo que la validación de estos nuevos archivos está en progreso y este post será actualizado acorde a las novedades que vayan surgiendo.

Figura 10. Post publicado por cibercriminales en Foro de Hacking con fecha Marzo 2021

Dentro de los nuevos archivos, se podían apreciar supuestas credenciales de usuarios de las instituciones afectadas, sin embargo, estas credenciales fueron obtenidas de una base de datos muy famosa en la Dark Web, por lo que no es algo obtenido directamente por el grupo cibercriminal a las empresas víctimas.

Figura 11. Comparación de los archivos subidos por los atacantes con la base de datos de credenciales en la Dark Web

Para finalizar el post, les dejamos algunas reflexiones a considerar de todo lo sucedido y que esto sirva como una lección aprendida que pueda ser aplicada en cualquier Institución sea pública o privada.

El objetivo de este post como se puede evidenciar claramente no es atacar a ninguna de las organizaciones que se ven actualmente en el centro de la atención mediática, sino el de informar sobre los hechos ocurridos, además de emitir algunas recomendaciones para que empresas públicas o privadas no se vean afectadas por este tipo de incidentes. Este artículo se basa en hechos técnicos y evidencias obtenidas de la información investigada de diferentes fuentes, incluyendo los portales que montaron los grupos criminales.

Así también se invita a la ciudadanía a unirse con el fin de mejorar la Ciberseguridad en el país y no solamente atacar a las empresas que puedan verse afectadas por algún incidente. Que Ecuador mejore en este ámbito es una tarea de TODOS nosotros, además que no se gana nada criticando o menospreciando a empresas y/o profesionales, ya que a la final todos trabajan por un mismo fin.

Puntos Clave a tomar en cuenta:

1. La información preliminar compartida por los atacantes corresponde a data previamente publicada (aproximadamente marzo del 2021), sin embargo, nueva data fue publicada cuya revisión está en proceso (no se descarta que los atacantes puedan tener más información).

2. En la revisión preliminar de la data que compartieron los atacantes no hay evidencia concluyente que apunte a una vulneración directa y/o reciente a las empresas afectadas, puede ser data obtenida de empresas terceras que comparten datos con las entidades en cuestión.

3. Dentro de la filtración se incluyeron usuarios/claves de las empresas víctimas (credenciales obtenidas de un portal en la Dark Web, más no son obra directa del atacante). Nada garantiza que sean credenciales vigentes, pero sirven para causar caos/miedo.

4. Los incidentes recientes (que pueden ser reales o no) que han sonado en el país, pueden sucederle a cualquier Institución pública o privada, nadie está libre de ser víctima de ciberataques, un ejemplo es el ataque de ransomware del grupo REvil que afectó a más de 100 empresas a nivel mundial e infectó más de 1 millón de computadores. Así también hace unas semanas atacaron a Electronic Arts, la creadora del Videojuego FIFA, donde robaron el código fuente de este y otros juegos.

5. La Ciberseguridad debe implementarse como un proceso de mejora continua, que debe ir evolucionando con el tiempo y adaptándose a las necesidades actuales, tanto en la parte de gestión, como en la parte técnica/operativa.

6. Además de invertir en soluciones de Ciberseguridad (hardware y software) que no son perfectas, es importante el factor humano, concientizar tanto al personal de las empresas como a sus clientes/usuarios es vital para evitar ataques. Esto incluye también capacitar al personal de las empresas en temas de Hacking Ético y Ciberdefensa. OJO: Ninguna de estas medidas es infalible, pero ayudan a prevenir mayores casos o a reducir el impacto si se da un incidente.

7. En caso de que cualquier empresa tenga la más pequeña sospecha de haber sido víctima de un posible ciberataque o una intrusión en sus sistemas, es primordial que ejecuten un Análisis Forense para encontrar posible actividad maliciosa en su red. Si bien un análisis de este tipo puede llevar tiempo considerable, es la mejor opción para encontrar indicadores de compromiso.

8. La Seguridad de la Información de una empresa, no solo es tarea del Departamento o Área de Sistemas, sino de TODOS y cada uno de los empleados que forman parte de la organización. Lo mismo aplica en la parte del usuario final, todo individuo al día de hoy maneja información (médicos, abogados, ingenieros, etc.) y deben ser responsables con el uso de la misma. Recuerda que TÚ y SOLO TÚ eres el RESPONSABLE de tus credenciales, si las ingresas en cualquier portal, es como dar la llave de tu casa a un desconocido.

9. Como lecciones aprendidas, es bueno que toda organización pública o privada tenga a mano un Plan de Respuesta ante Incidentes, para que en caso de darse un ataque, se pueda detectar, contener, mitigar y resolver de manera efectiva, siguiendo buenas prácticas como el estándar NIST SP 800-61.

10. Finalmente, para adelantarse a los cibercriminales en detectar cualquier vulnerabilidad en la infraestructura, es buena práctica que las empresas realicen ejercicios de Ethical Hacking frecuentes. Los mismos que deben ser realizados por personal calificado que sepa ejecutar pruebas manuales y no solo herramientas automatizadas. OJO: Estos ejercicios tampoco garantizan que una empresa esté libre de ataques, pero ayuda a prevenir.

Etiquetas: , , , , , , , , , , , , ,

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)