#HablandoDeSeguridad: ¿Telcos argentinas bajo ataque de Ransomware?
Generó gran alarma la infección que tuvo una empresa en Argentina, pero lo que nadie analizó es que no fue la única y esto es algo que comenzó a fines del año pasado. Todo en este informe.
El 26 de noviembre de 2019 publicamos un Microinforme de Hablando de Seguridad explicando cómo se venía gestando esta ola de ataques.
¿Las víctimas? Empresas que no cuentan con herramientas de última generación o que, aún teniéndolas, no cubren todas las brechas de seguridad.
¿Los victimarios? Cyberdelincuentes que aprovechan la situación del aumento del teletrabajo y el descuido en el mantenimiento de las infraestructuras de seguridad, para lanzar ataques como este de Ransomware as Service.
¿El ataque fue dirigido a una Telco argentina?
No, los sistemas de monitoreo de intentos de ataques de muchas empresas latinoamericanas registraron un aumento de actividad de Ransomware en el último mes.
Esto es un fenómeno mundial que tiene una alta concentración en Asia y llegó al continente americano.
La nueva ola de intentos de ataque tiene en común que se realiza a través de Ransomware conocido y dispersado por medio de infraestructuras delictivas que venden servicios denominados “Ransomware as Service” contratados por grupos de Cyberdelincuentes que pretenden, entre otras cosas, obtener Bitcoins mediante la maniobra extorsiva de inutilizar un sistema.
Al momento del cierre de este informe, la empresa argentina afectada sólo había emitido comunicaciones no formales a sus usuarios corporativos, probablemente porque estos no fueron afectados. Manteniendo como siempre nuestra responsabilidad profesional, no identificaremos a la empresa mientras no exista una comunicación pública formal. Pero tengamos en cuenta que existieron casos similares en el último mes y que no están focalizados en ninguna industria en particular, aunque sí son numerosos los que afectan al área financiera.
La realidad del escenario
El fin de semana del 18 de julio pasado se difundió la noticia que una empresa de Telecomunicaciones y Servicios de Argentina había sigo afectada por el Ransomware designado como “Sodinokibi” .
El impacto del ataque del Malware no afectó los servicios críticos de la compañía. Tampoco fueron afectados los usuarios de los servicios ni los proveedores con los cuales tienen sistemas interconectados.
Sodinobiki, un viejo conocido
Sodinokibi es un Ransomware diseñado para Windows. Es una variación de un conocido malware designado como “GandCrab” y su código no presenta mejoras importantes.
Lo que diferencia a Sodinokibi de GandCrab es que, hace unos meses, pasó a formar parte de las opciones de servicios que las organizaciones de Cybercriminales ofrecen como Ransomware as a Service. Es esto lo que provocó un aumento en su cantidad de incidentes en todo el mundo.
Como todo Ransomware, tiene como principal rutina de ataque, la de inutilizar archivos del sistema impactado por medio de encriptación. Si bien es una técnica convencional, resulta eficaz porque le dificulta mucho la tarea a las herramientas Antimalware convencionales.
Dispersión geográfica
Gracias a que forma parte del menú de “Ransomware as a Service” tiene una dispersión casi a nivel mundial, pero hasta el momento es Asia el continente más afectado.
¿Cómo llega a la computadora de una empresa?
Sodinobiki es sólo una versión más de un Ransomware convencional y llega a una computadora por medio de los siguientes caminos conocidos:
- Mensajes de correo electrónico que, bajo la máscara de una publicidad, contienen un link a un página Web que descarga el Malware.
- Ataques de fuerza bruta sobre el protoco RDP.
¿Porqué es difícil de detectar para las herramientas Antimalware convencionales?
Si es un Ransomware es, básicamente un archivo ejecutable que cuando actúa en un sistema comienza a encriptar archivos. Siendo un archivo ejecutable ¿porqué Sodinokibi es más complicado de detectar que otros? Algunas de las familias derivadas del GandCrab, utilizan una técnica que se vió pro primera vez en algunos virus a principios de la década de los ´90 y consistía en que el archivo ejecutable encriptaba de diferentes maneras parte de código, dificultando que los desarrolladores de Antivirus convencionales encontraran una estructura fija que delatara la presencia del Malware. Es como que en lugar de tener una única huella digital, tiene muchas y las va cambiando.
Impacto
Una vez que llega un primer ejemplar de Sodinobiki a un sistema comienza, como todo Ransomware a inutilizar archivos con información de trabajo. Esto lo hace encriptándolos o utilizando otras técnicas con resultados similares.
De acuerdo al tipo de contratación de Ransmware as Service que hayan pactado los Cyberdelincuentes, se pedirá algún tipo de rescate para revertir el proceso, ofreciendo entrar en contacto por medio de algún tipo de canal de comunicación anónimo.
Recomendaciones
- Contar con un Firewall de última generación
- Contar con protección para Endpoints de última generación.
- Contar con herramientas con capacidades específicas AntiRansomware.
- Contar con un diseño de Infraestructura que contemple la segregar y segmentación en subredes.
- Mantener una Política de Backup actualizada y con repositorios aislados.
- Trabajar en la Cybercultura de las personas.
