Etiqueta: Ransomware

El ransomware SamSam ataca a entidades financieras peruanas

Desde Hispasec tenemos conocimiento de los ataques sufridos por entidades financieras peruanas, ataques que han tenido como objetivo principal la instalación del ransomware SamSam (también conocido como Samsa o Samas)

SamSam no es más que la herramienta principal de un ataque dirigido a entidades concretas. No es un malware de distribución masiva, sino que es ejecutado de forma manual dentro de la red de la organización víctima. Para ello, el atacante necesita encontrar previamente una forma de acceder a la red. Las primeras versiones del ataque usaban exploits conocidos contra servicios de la organización expuestos a Internet, pero las últimas versiones han optado por atacar usando fuerza bruta (probando contraseñas una tras otra) contra un servicio en concreto: el servicio RDP (Remote Desktop Protocol), usado para permitir el acceso remoto a otro ordenador compartiendo la pantalla.

Características principales del ransomware

Una característica del malware que impide su análisis en profundidad es que su parte principal viene cifrada con una clave que sólo conoce el atacante. Evidentemente, para su ejecución es necesario descifrarla, pero lo hace el atacante proporcionando la contraseña al ejecutarlo manualmente. Por tanto, para poder analizar el malware en profundidad, sería necesario pillar al atacante in fraganti y capturar la contraseña, ya que apenas se ejecuta el malware se borra la contraseña usada para descifrarlo.

El resto de partes son piezas de apoyo que ayudan a descifrar y lanzar el malware de forma automática. Adicionalmente, el ataque hace uso de diversas herramientas de apoyo, entre otras una herramienta de administración remota (RAT) con capacidad para realizar cualquier acción en el sistema y herramientas públicas de terceros para realizar el reconocimiento de la red y moverse lateralmente en ésta (es decir, saltar de un punto de la red a otro). De nuevo, recordamos que estamos ante un ataque dirigido, donde un atacante entra en la red por algún medio externo al ransomware, y una vez dentro, reconoce y ataca manualmente otros puntos de la red, para finalmente ejecutar el ransomware en los puntos de la red que considere dignos de secuestrar.

Flujo del ataque

A continuación se describe las fases del ataque que tienen como objetivo final la ejecución del ransomware SamSam. Se presupone que la entidad ya ha sido seleccionada por el atacante. Para ello, puede haber sido elegida manualmente por su importancia y valor, o bien haber sido elegida tras buscar organizaciones con redes con una seguridad débil. Para esto último, los atacantes se suelen valer de herramientas como el buscador Shodan, que permiten buscar qué puntos de Internet corren ciertos servicios que se conocen vulnerables, para intentar explotarlos luego. También existen listas de servicios vulnerables previamente confeccionadas puestas a la venta por otros criminales.

1. Intrusión en la red

Se conocen tres métodos por los cuales el atacante accede a la red en este paso:

  1. Ataque de fuerza bruta sobre el servicio RDP de Windows, que corre en el puerto 3389, buscando credenciales débiles.
  2. Aprovechando vulnerabilidades de servicios expuestos a Internet. En el pasado aprovecharon vulnerabilidades en el servidor de aplicaciones JBoss.
  3. Ingeniería social, especialmente a través de correos adjuntos infectados. Se desconocen los detalles de esta forma de entrada.

Una vez completado este punto, el atacante puede ejecutar código en la máquina afectada, si bien dependiendo de la configuración del sistema comprometido o del nivel de la cuenta de usuario comprometida, estaríamos hablando de ejecución a nivel de usuario sin privilegios o a nivel de administrador. Si el atacante no ha conseguido privilegios de administrador, procede al siguiente paso:

2. Elevación de privilegios

Tras conseguir entrar en la red con una cuenta de usuario sin privilegios, el atacante tiene que escalar privilegios y obtener acceso como controlador de dominio. Para ello hace uso de distintas herramientas y exploits, herramientas la mayoría de código abierto y gratuitas, y también creadas por el mismo atacante.  No se ha documentado una relación directa entre un exploit en particular y estos ataques en esta fase. Se sabe que en esta fase el atacante ha podido estar días, por ejemplo debido al uso de herramientas que aprovechan la entrada de un controlador de dominio al sistema para robarle el acceso.

3. Movimiento lateral

Con el objetivo de afectar el número máximo de sistemas, el atacante procede a escanear la red y comprometer los sistemas accesibles. Para ello, y con el acceso de administrador, accede de forma normal a un servidor de la compañía, desde el cual procede a escanear la red. Una vez seleccionados los posibles objetivos, accede a todos los que puede y realiza una prueba para ver si efectivamente puede acceder al sistema de archivos de ese sistema. El que esto sea realizado por parte del atacante de forma manual permite hacer el menor ruido posible.

4. Ejecución del malware

Tras establecerse como controlador de dominio desde un servidor de la compañía, el atacante procede a instalar y ejecutar el ransomwareSamSam en los objetivos disponibles. Para ello, usa principalmente una herramienta legal llamada PsExec. La ejecución del malware se realiza de una forma atípica: se proporciona una contraseña como parámetro de línea de comandos al ejecutable del ransomware en el momento de ejecución. Esta contraseña se usa para descifrar el malware, que viene cifrado. De esta forma, el atacante mantiene en secreto el funcionamiento concreto del malware, ya que en un análisis post mortem del sistema víctima no se encuentra el código que ha provocado el desastre.

5. Espera del pago y soporte técnico

Tras infectar todos los sistemas objetivo de una forma coordinada (con segundos de diferencia entre ellos), al atacante sólo le queda limpiar todos los rastros que pueda y esperar a que la víctima pague. Tras completarse la ejecución del ransomware, como en casi todos los casos, el malware deja una nota de rescate. En ésta se especifica la cantidad de Bitcoins a pagar para obtener la contraseña de descifrado (con precios en dólares actualmente de unos 500 dólares por máquina y 4.000 por todas) y la dirección a la que realizar el pago. También se especifica una dirección de una web contenida en la red Tor (una red pública y gratuita que mantiene el anonimato de los usuarios, pero que requiere la instalación de software adicional para navegar por ella). En esa dirección se encuentra una forma de contactar con el atacante e incluso poder descifrar algunos archivos gratuitamente. Como el acceso a la red Tor no es conocido para la mayoría de los usuarios, el atacante incluye instrucciones accesibles para poder acceder a ella.

Precisamente uno de los puntos más llamativos de este ransomware es la calidad del “soporte técnico” que se ofrece por parte del atacante para solucionar problemas relacionados con el pago y el descifrado de los archivos, llegando hasta el punto de enviarse una decena de mensajes por parte del atacante para solucionar un problema particular de un usuario que ya había pagado. O disculparse por la tardanza al responder a un mensaje de un usuario. También es reseñable que el atacante parece haber proporcionado la clave de descifrado a todas las víctimas que han pagado, si bien desde Hispasec recomendamos nunca pagar el rescate, ya que contribuiríamos a alimentar este tipo de fraude.

Soluciones y contramedidas

Este malware tiene un sistema de cifrado para el que no se han documentado fallos. Por tanto, en este momento no hay solución más allá de pagar el rescate. Ahora pasamos a diferenciar entre la infección por ransomware y la intrusión a la red para explicar qué medidas se deben tomar con antelación para protegerse de estas amenazas:

Infección por ransomware

En el primer caso, infección por ransomware, existen una serie de medidas específicas para detectar que un malware de este tipo se encuentra ejecutándose y bloquearlo, pero existen otras medidas más básicas y generales de protegerse. Hablamos de las copias de seguridad y los entornos de usuario fácilmente restaurables. Las copias de seguridad son imprescindibles para casos como éste, pero son igualmente vitales en casos de rotura del almacenamiento principal de un sistema y otras catástrofes. Es especialmente interesante que estas copias no estén conectadas a red alguna, o que se encuentren en otro lugar físico.

Adicionalmente, poder restaurar los equipos de los usuarios con un sistema de replicación de imagen de disco duro o un sistema de virtualización distribuido son las otras medidas que complementan a las copias de seguridad de los datos. Ambas medidas combinadas proporcionan una excelente protección contra la amenaza de un ransomware. Incluso en uno de los peores casos: entra un ransomware de propagación automática e infecta los sistemas de todos los usuarios de la red usando un exploit desconocido. Si tienes copias de seguridad diarias, habrás perdido como mucho un día de información. Y si los entornos de tus usuarios son fácilmente restaurables, en unas horas puedes estar funcionando de nuevo con equipos limpios.

Intrusión en la red

Finalmente, queda comentar contramedidas contra intrusiones en la red. En este tipo de casos, empresas grandes con mucho que perder y redes bastante complejas, no se puede ofrecer una serie de contramedidas generales y pensar que eso es suficiente. Es necesario invertir en seguridad informática, tanto en personal como en equipos, y apoyar firmemente desde dirección la implementación y respeto de la política de seguridad diseñada por personal cualificado. En este caso en particular, dados los tres tipos de entradas que se conoce realiza el atacante, podemos comentar las medidas básicas de protección contra cada uno de ellos:

  1. Credenciales débiles: Forzar que todo método de autenticación basado en contraseña respete unos requisitos mínimos de longitud y variedad de caracteres en la contraseña.
  2. Servicios vulnerables expuestos a Internet: Lo primero es exponer el mínimo número de servicios posibles a Internet. Lo segundo es actualizar el software para protegerse al menos de vulnerabilidades conocidas. Finalmente, aislar en la medida de lo posible estos servicios del resto de la red interna.
  3. Ingeniería social: Cursos de conciención a todos los niveles de la compañía, siempre procurando que sean prácticos y amenos. Las políticas de seguridad deben ser razonables y no requerir un esfuerzo sobrehumano para ser respetadas, o los usuarios no las respetarán.

Muestras relacionadas

b6829ddc762f8e218e34006ed0892e880d3efcedbbbbb7cc133e3326a9a89512
338fdf3626aa4a48a5972f291aacf3d6172dd920fe16ac4da4dd6c5b999d2f13
591a97d42f895139ceacc4e79cf59ef2cc565f7c3905d872448ff246d7e66cd2
ebba97948a468526820cce002cf0222c91784376c52a1706fef118642b14c726
c99da4b3f96a678dcec9bcb9b06b0e2b7d713e6761a9f43773fcb92722838498

Más información:
 

Encontrado el primer ransomware con ‘Process Doppelgänging’ para evadir su detección

Los investigadores de seguridad han descubierto el primer ransomware que explota ‘Process Doppelgänging’.

Para quien no lo sepa, ‘Process Doppelgänging‘ es una técnica de inyección de código sin archivos que podría ayudar a evitar la detección de malware.

El ataque funciona mediante transacciones NTFS. Con ellas, inicia un proceso malicioso y reemplaza la memoria de un proceso legítimo. Engañando así a las herramientas de monitorización y al antivirus haciendoles creer que el proceso legítimo se sigue ejecutando.

Los investigadores de seguridad de Kaspersky Lab han encontrado el primer ransomwareque emplea esta técnica para evadir sus acciones maliciosas y apuntar a los usuarios de Estados Unidos, Kuwait, Alemania e Irán principalmente. Se trata de una variante deSynAck.

Un dato interesante que descubrieron es que este malware no infecta a usuarios de países específicos como Rusia, Bielorrusia, Ucrania, Georgia, Tayikistán, Kazajistán y Uzbekistán.

Para identificar el país de un usuario específico, este ransomware compara los diseños de teclado instalados en el ordenador de la víctima con una lista almacenada en el malware. Si encuentra una coincidencia, el ransomware duerme 30 segundos y llama a ExitProcesspara evitar el cifrado de los archivos.

En caso de que si se ejecute, al igual que cualquier otro ransomwareSynAck encripta el contenido de cada archivo con el algoritmo AES-256-ECB y proporciona a las víctimas una clave de descifrado hasta que se pongan en contacto con los atacantes y cumplan sus demandas.


Además, también es capaz de mostrar una nota en la pantalla de inicio de sesión de Windows modificando las claves LegalNoticeCaption y LegalNoticeText en el registro.

A pesar de que los investigadores no han determinado cómo llega este malware a sus dispositivos, la mayoría de ransomware se propaga a través de correos electrónicos dephishing, anuncios maliciosos en sitios web y aplicaciones de terceros.

Se recomienda a todos los usuarios tener una copia de seguridad almacenada en un dispositivo externo que no esté siempre conectado a su PC.

Análisis en el blog de Kaspersky:
https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/

El ransomware Petya/ExPetr visto desde adentro: aprenda cómo proteger su información

El ransomware Petya/ExPetr visto desde adentro: aprenda cómo proteger su información

El jueves 29 de junio, Kaspersky Lab y Comae Technologies presentarán un seminario web de emergencia a fin de ayudar a las empresas a comprender y defenderse del ransomware Petya/ExPetr.  El malware ha afectado compañías de diversos sectores de la industria de todo el mundo. Ucrania, Rusia y una serie de países de Europa occidental han sido los más perjudicados.

Juan Andrés Guerrero-Saade, investigador principal de seguridad del Equipo de Investigación y Análisis de Kaspersky Lab, conjuntamente con Matt Suiche, de Comae Technologies, presentarán la última información sobre los vectores de ataque de ransomware, el proceso de infección y cómo esta se disemina por las redes de las empresas. Proporcionarán orientación para mitigar los efectos del ataque y explicarán las medidas que las organizaciones deben tomar para proteger sus computadoras y redes de esta amenaza.

El seminario web tendrá lugar el jueves 29 de junio a las 10 AM, hora Miami – EUA.

Para unirse a este seminario web, haga clic en este enlace.

Necesitará auriculares o parlantes conectados a su PC o teléfono móvil para poder escuchar.

_

Ransomware Petya

Apreciado,

Les informamos que el día de ayer  (27 de junio), recibimos informes sobre una nueva ola de ataques de ransomware que se extendían por todo el mundo. Nuestros hallazgos preliminares sugieren que no se trata de una variante del ransomware Petya, tal como se ha informado públicamente, sino que se trata de un nuevo ransomware que no se había visto anteriormente. Pese a que cuenta con varias secuencias similares a Petya, posee funcionalidades completamente distintas. Lo hemos nombrado ExPetr.

Las soluciones de Kaspersky Lab detienen con éxito el ataque a través del componente System Watcher. Esta tecnología protege contra ataques de ransomware mediante el monitoreo de cambios en el sistema y el rechazo de cualquier acción potencialmente destructiva.

Recomendamos:

  •  Que todas las empresas actualicen su software de Windows: los usuarios de Windows XP y Windows 7 pueden protegerse a sí mismos instalando el parche de seguridad MS17-010.
  •  Asegurarse de tener la información respaldada. El respaldo apropiado y oportuno de su información puede ser utilizado para reestablecer los archivos originales después de experimentar una pérdida de información.

A los clientes corporativos de Kaspersky Lab les recomendamos:

  • Comprobar que todos los mecanismos de protección estén activados de acuerdo a las recomendaciones; Y que los componentes KSN y System Watcher (habilitados de forma predeterminada) no están deshabilitados.
  • Alternativamente, puede utilizar el Application Startup Control (https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm) componente de Kaspersky Endpoint Security para bloquear la ejecución de la utilidad PSExec (parte de Sysinternals Suite), pero por favor utilice Application Privilege Control para bloquear “perfc.dat”.
  • Configure y habilite el mecanismo Default Deny del componente de Application Startup Control de Kaspersky Endpoint Security, para garantizar la defensa de manera proactiva contra este y otros ataques.

Si usted no cuenta con productos de Kaspersky Lab en su entorno, utilice la función AppLocker de Windows OS para deshabilitar la ejecución de cualquier archivo que porte el nombre “perfc.dat”, así como la utilidad PSExec de la suite Sysinternals. Y también podrá usted descargar la herramienta anti-ramsoware gratuita de Kaspersky Lab con tecnología que permite detectar y bloquear ransomware – https://go.kaspersky.com/Anti-ransomware-tool.html

Cordial Saludo,

Kaspersky Lab LatAm

Ransomware Petya – Variante de WannaCry

El equipo GREAT Team de Kaspersky ha publicado el día Martes 27 el siguiente comunicado oficial ante esta campaña masiva del Ransomware Petya.

Aquí está nuestra lista de recomendaciones sobre cómo sobrevivir a los ataques ransomware:

  • Asegúrese de actualizar el software de terceros Microsoft Windows y. Es crucial aplicar el boletín MS17-010 de inmediato.
  • No ejecute abrir archivos adjuntos de fuentes no fiables.
  • Copia de seguridad de datos sensibles a almacenamiento externo y mantenerlo fuera de línea.
  • Mantener actualizadas las bases de firmas de los endpoints.

 

 

También se aconseja por parte de Kaspersky Lab

  • Compruebe que todos los mecanismos de protección se activan según lo recomendado; y que KSN y componentes System Watcher (que están habilitadas de forma predeterminada) no se desactivan.
  • Como me
  • dida adicional para clientes corporativos es utilizar control de privilegios de aplicaciónnegar cualquier acceso (y, por tanto posibilidad de interacción o ejecución) para todos los grupos de aplicaciones en el archivo con el nombre “perfc.dat” y utilidad PSEXEC (parte de la Sysinternals suite)
  • Se puede utilizar como alternativa de Control de inicio de aplicacionescomponente de Kaspersky Endpoint Security para bloquear la ejecución de la utilidad de PSExec (parte del Sysinternals Suite), pero por favor utilice control de privilegios de aplicaciones con el fin de bloquear la “perfc.dat”.
  • Configurar y habilitar el modo por defecto del componente Control de inicio de aplicaciones de Kaspersky Endpoint Security para garantizar y hacer cumplir la defensa proactiva contra este y otros ataques de denegación.

 

 

 

 

Actualmente Kaspersky Lab detecta esta amenaza como, aplica a todas las versiones de Kaspersky Endpoint Security 10:

 

  • UDS: DangerousObject.Multi.Generic
  • Trojan-Ransom.Win32.ExPetr.a
  • HEUR: Trojan-Ransom.Win32.ExPetr.gen

Nuestro SystemWatcher motor de detección de comportamiento detecta la amenaza como:

  • PDM: Trojan.Win32.Generic
  • PDM: Exploit.Win32.Generic

Para mayor información sobre el caso y sus precauciones ver: https://securelist.com/schroedingers-petya/78870/

 Petya es el nuevo ransomware que causa estragos en todo el mundo

No han pasado ni dos meses desde que Wannacry hiciera temblar a muchas de las grandes compañías de todo el mundo cuando otro ransomware similar
vuelve a atacar.

Todo indica que este nuevo ataque se está reproduciendo a gran velocidad por todo el mundo, aunque por el momento Ucrania parece ser el país más
afectado. Petya (diminutivo ruso de Pedro) actúa de forma similar a Wannacry, de hecho emplea el mismo exploit conocido como ETERNALBLUE.
También se han detectado casos de afectados en España.

Imagen de Petya pidiendo el rescate:

El mensaje es claro:
“Si ves este texto, tus archivos ya no están accesibles, porque han sido cifrados. Tal vez estés ocupado buscando una forma de recuperar tus
archivos, pero no malgastes tu tiempo. Nadie puede recuperar tus archivos sin nuestro servicio de descifrado”.

Tal y como ocurría con Wannacry el virus cifra archivos importantes del usuario y muestra un mensaje en el que se solicita un rescate para
recuperar la información secuestrada. La lista de extensiones cifradas es amplia:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .mrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk
.vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip Documentos, bases de datos, hojas de cálculo, correos, archivos comprimidos… toda la información importante se verá cifrada tras la actuación de Petya.

Petya no es un malware nuevo, hace más de un año ya empezamos a ver muestras de este malware. En esta ocasión nos encontramos con una nueva
versión que ha recogido el exploit empleado por Wannacry para su actuación.

En esta ocasión el rescate solicitado para recuperar la información  es de 300 euros en bitcoins.

Una de las acciones que realiza este malware es cifrar el MBR al reiniciar, por lo que ya será imposible acceder al sistema operativo y solo se mostrará una pantalla al arrancar el ordenador. De todas formas cuenta con un temporizador de una hora para forzar el reinicio. La recomendación en este caso es desconectar el equipo de la red hasta actualizar, pero no apagarlo y evitar cualquier tipo de reinicio forzado.

Para la infección a través de la red emplea técnicas de movimiento lateral a través de WMIC. Estas técnicas permiten al malware conseguir información de los sistemas de la red incluso sin necesidad de utilidades adicionales como RAT.

Los parches a aplicar en este caso son los mismos que para Wannacry. Es decir, aquellos sistemas que ya aplicaron los parches necesarios anteriormente no pueden verse afectados. Las actualizaciones publicadas por Microsoft para evitar esta vulnerabilidad se encuentran bajo el boletín MS17-010 y son las siguientes según sistema:
Para Windows 8.1
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012216
Para Windows 10
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606
Para Windows 7 y Server 2008
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
Windows XP, Server2003 y 8
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Muestra de Petya en Virustotal

https://twitter.com/karlhiramoto/status/879726653924139008

Al igual que ocurría con Wannacry se buscaba un “botón de desactivación”, un dominio que en caso de no existir podría detener la cadena de propagación. Un investigador español ha encontrado el dominio coffeeinoffice.xyz que ya ha sido desactivado. Aunque aun no se ha comprobado que eso haya parado la propagación.

Por otra parte, la dirección de correo del atacante a través de la cual se realiza el pago está bloqueada, por lo cual será imposible llegar a realizar el pago.

Sin duda una de las imágenes del ataque queda reflejada en esta foto de un supermercado ucraniano:

Está claro. No aprendemos.
http://unaaldia.hispasec.com/2017/05/wannacry-y-las-lecciones-que-nunca.html

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2017/06/petya-es-el-nuevo-ransomware-que-causa.html#comment-form

Más información:

una-al-dia (12/05/2017) Un ransomware ataca a múltiples compañías
http://unaaldia.hispasec.com/2017/05/un-ransomware-ataca-multiples-companias.html

una-al-dia (17/05/2017) WannaCry y las lecciones que nunca aprendemos
http://unaaldia.hispasec.com/2017/05/wannacry-y-las-lecciones-que-nunca.html

Identificado ataque de ransomware contra varias multinacionales con sede en España
https://www.ccn-cert.cni.es/seguridad-al-dia/avisos-ccn-cert/4667-ccn-cert-av-04-17-identificado-ataque-de-ransomware-contra-varias-multinacionales-con-sede-en-espana.html

VirusTotal
https://virustotal.com/fr/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/
https://virustotal.com/es/file/71e48c8cfe11a823ed3d26793fe0c925621a0d693d4925538de2ec7313062d67/analysis/

Wanna Cry Ransomware : Update 5/21/2017 FIX
https://answers.microsoft.com/en-us/windows/forum/windows_10-security/wanna-cry-ransomware/5afdb045-8f36-4f55-a992-53398d21ed07

una-al-dia (30/03/2016) Petya, un nuevo ransomware que impide el acceso al disco duro
http://unaaldia.hispasec.com/2016/03/petya-un-nuevo-ransomware-que-impide-el.html