Pseudo-Ransomware un ataque igual de eficaz Bitdefender

Un ataque con igual efectividad

Introducci贸n

Recientemente hemos recibido varias llamadas por parte de varios Resellers de Bitdefender para proteger la red de sus clientes despu茅s de un ataque aparente de Ransomware. Nos quedamos sorprendidos ya que el tipo de Ransomware empleado estaba ya esta registrado meses atr谩s en sus firmas y en todos los casos estaba activada la vacuna en la pol铆tica. Entonces 驴Como? 驴Que ha pasado?
Tras varios an谩lisis, el equipo de Reditelsa ha detectado varios puntos en com煤n:

  1. El cliente final emplea RDP (Escritorio Remoto) o Terminal Server para acceder a los equipos de la compa帽铆a.
  2. Los sistemas llevan meses sin ser actualizados, aplicaciones incluidas. No usan el servicio de Patch Managment de Bitdefender.
  3. En dos de los casos, varios usuarios descargaban generadores de llave y/o cracks sin consentimiento de la empresa para obtener versiones activadas de varios productos, creando una excepci贸n de an谩lisis en la carpeta que los contiene haciendo posible su ejecuci贸n, en la pol铆tica de Bitdefender.
  4. Ninguno de ellos ten铆an activado el Hiperdetection, SandBoxing y/o EDR, funcionalidades imprescindibles hoy para la seguridad de los Endpoints.

Modus Operandi

Dos formas para detectar a posibles victimas.
  • La primera (posiblemente) es escanear las IPs externas para detectar puertos abiertos en los firewalls y routers, focalizando su b煤squeda en puertos de Escritorio Remoto/Terminal Server.
  • La segunda, es aprovechar la creencia por parte del usuario de que la ejecucion de software no deseado no tiene peligro alguno.聽 La amenaza puede quedar dormida semanas o incluso meses, vease keygen y cracks. Este software podr铆a contener Payloads que permiten el acceso y ejecuci贸n de comandos elevados. Los Payloads son detectados por los antivirus pero la mala praxis de crear excepciones de carpetas y procesas evita su detecci贸n.
Acceso no autorizado
  • Con t茅cnicas de Croaking(*) conocen de las vulnerabilidades del equipo y haciendo uso de exploit-db.com聽rompen el login de entrada del Escritorio remoto. Esto sucede cuando los equipos no est谩n plenamente actualizados.
  • Con el uso del payloads y comandos elevados crean un usuario con permisos de acceso remoto.

En este momento tenemos al atacante literalmente esta delante de la pantalla de la victima como un usuario mas.

(*) Toda comunicaci贸n entre equipos viene precedido de un intercambio de informaci贸n relativa a versiones de sistema operativo, sistemas implementados y plataformas usadas. Normalmente esta informacion se usa para mejorar el entendimiento y reserva de recursos. Pero tambi茅n esta informaci贸n puede ser usada para crear un patr贸n de ataque ajustado consultando las base de datos de vulnerabilidades en Internet o usando herramientas de penetraci贸n.

Deshabilitando la seguridad

En todos los casos nos hemos encontrado el famoso 芦process hacker 1禄 instalado en los equipos. Este software permite retirar, bloquear e incluso des-instalar cualquier proceso y aplicacion del equipo. Su ejecucion una vez mas desde excepciones de carpetas y procesos. El ataque lo usa para des-habilitar los procesos de Bitdefender.

Localizaci贸n聽de Backups y puntos de聽restauraci贸n

Para que sea mas efectiva la extorsi贸n, el atacante localiza posibles programas de Backup y los puntos de restauraci贸n de Windows. Estos ser谩n eliminados o quedaran incluidos en el listado de ficheros a cifrar.

Ejecuci贸n聽de Bitlocker por extensiones

El atacante simulando ser un Ransomware proceder谩 como todos ellos a cifrar todos los ficheros por extensiones del tipo dato + a帽adidos del backup (tanto en el equipo local como el recursos compartidos de la red) no protegidos por ataques laterales y permisos de escritura. Funcionalidades estas, ya disponibles en vuestra consola.

Ficheros reclamando el pago

En todos ellos, bien solo en el escritorio (1), o como es habitual en los ataques por Ransomware en cualquier de las carpetas cifradas (2), el atacante deja los ficheros *.txt dando explicaciones de como proceder el pago por Crypto-Moneda y una direcci贸n de email. Ademas incluye informaci贸n sobre el Ransomware utilizado. Esto es un enga帽o, ya que el patr贸n del cifrado no coincide con la denominaci贸n mencionada.

El hecho de la existencia de manera diferencial de estos ficheros (1) y (2) demuestra que son atacantes diferentes usando la misma din谩mica. Como es obvio, el proceso se realizada de manera automatizada con la ejecuci贸n de comandos secuenciales.

Resumen de los pasos

Entendemos que realizar铆an los pasos intermedios no descritos y que aqu铆 resumimos.

  1. Re-colecci贸n de informaci贸n sobre la maquina victima.
  2. Acceso a la maquina v铆a remoto.
  3. Terminaci贸n de los procesos que podr铆an bloquear el acceso a escritura de los ficheros.
  4. Generaci贸n del par de claves publica/privada.
  5. Envi贸 de una solicitud HTTP de comprobaci贸n inicial a su servidor C&C
  6. Para cada archivo en el sistema: genere una clave AES-256 aleatoria;聽util铆zalo para cifrar el archivo;聽cifrarlo con la clave p煤blica RSA y adjuntarlo al archivo cifrado
  7. Envi贸聽de un mensaje de confirmaci贸n al servidor de C&C.
  8. Eliminaci贸n聽de las copias de seguridad de archivos Windows Shadow para evitar su restauraci贸n.

An谩lisis y Soluci贸n a PSeudo-RansomWare

Creemos que el asalto a la redes de nuestros ha sido masiva. Pero solo en aquellos que han bajado la guardia en cuanto a la puesta en marcha de las nuevas funcionalidades (HyperDetection, SandBoxing, EDR)聽 o han permitido la ejecucion de software no deseado por parte del usuario final con la creaci贸n de excepciones de an谩lisis, han sido afectados. Hemos revisado historiales de navegaci贸n, descargas y cadenas de spam para verificar que no ha sido contagiado a trav茅s de vectores cl谩sicos.

El factor com煤n entre todos ellos; Uso de RDP, sistemas no parcheados y la mala praxis del usuario final. Estos tres factores han permitido el acceso a este tipo de atacante organizado.

Nuestra preocupaci贸n tambi茅n se extiende hacia la ingenier铆a social. Hemos visto en los perfiles de las victimas aspectos comunes pero aun no tenemos una respuesta segura al respecto.

Os rogamos prob茅is los nuevos servicios a帽adidos a Business Security MSP:

Patch Managment

Complemento a Business Security MSP para obtener un inventario de software instalado, distribucion e instalacion de parches de seguridad. No solo del sistema Operativo sino tambien de +3000 fabricantes de software. Parchea la red de tus clientes con dos clicks!! Reduce la posibilidad del atacante a usar vulnerabilidades existentes.

Disk Full Encryption

Funcionalidad de apoyo al Business Security MSP y ajustado a la obligatoriedad de la GDPR con el cifrado de datos de car谩cter elevado o bien aquellos dispositivos de movilidad obligados tambi茅n por ley. La clave de cifrado es guardada en un repositorio unificado de la consola GravityZone garantizando la restauraci贸n de la informaci贸n. El cifrado de los datos es realizado por codificadores nativos de los sistemas operativos.

EDR (EndPoint Detection & Response)

Funcionalidad extraordinaria de apoyo a Business Security MSP cuya funcionalidad sirve como herramienta de an谩lisis forense en tiempo real, creando mapas explicativos de amenazas y ataques en tiempo Real con el m谩ximo detalle del mismo. Ademas proporciona informaci贸n acerca de la sobre-exposici贸n de datos y riesgos contra铆dos. Ordena la concatenaci贸n de procesos y la interacci贸n de vectores, origen y estrategias empleadas en el ataque.

ATS (Advanced Threat Security)

El sistema de seguridad para amenazas avanzadas es una opci贸n que acompa帽a a la base del agente de Business Security MSP combinando las funcionalidades de HyperDetection y SandBoxing. Cuando cualquiera de las dos funcionalidades es activada, este servicio queda contratado. Supone un gran avance contra las nuevas t茅cnicas de Hacking y prevencion de amenazas avanzadas, imprescindibles hoy para la seguridad de los EndPoints de las redes de vuestros clientes.

HyperDetection

Funcionalidad que acompa帽a al Business Security MSP para proteger a los EndPoints de los ataques dirigidos, laterales y comportamiento sospechosas de aplicaciones. Esta funcionalidad esta recogida en el servicio ATS (Advanced Threat Security) junto con el SandBoxing. Supone un gran avance de seguridad al proteger equipos de amenazas provenientes de equipos y aplicaciones supuestamente de confianza.

SandBoxing

Nueva funcionalidad de apoyo para Business Security MSP que detona las descargas por los vectores de Web y Correo electr贸nico en un entorno externo al usuario y controlado por Bitdefender. La ejecucion en una plataforma igual a la que iba dirigida, permite analizar el contenido y comportamiento previo a la recepci贸n en el EndPoint. Este servicio esta incluido en el ATS (Advanced Threat Security) junto con HyperDetection.

Contenido Protegido

Sino dispone de la contrase帽a.

Solic铆tala ya en bitdefender@reditelsa.com

Relativo a esta tecnolog铆a