Pseudo-Ransomware un ataque igual de eficaz Bitdefender
Un ataque con igual efectividad
Introducción
Recientemente hemos recibido varias llamadas por parte de varios Resellers de Bitdefender para proteger la red de sus clientes después de un ataque aparente de Ransomware. Nos quedamos sorprendidos ya que el tipo de Ransomware empleado estaba ya esta registrado meses atrás en sus firmas y en todos los casos estaba activada la vacuna en la política. Entonces ¿Como? ¿Que ha pasado?
Tras varios análisis, el equipo de Reditelsa ha detectado varios puntos en común:
- El cliente final emplea RDP (Escritorio Remoto) o Terminal Server para acceder a los equipos de la compañía.
- Los sistemas llevan meses sin ser actualizados, aplicaciones incluidas. No usan el servicio de Patch Managment de Bitdefender.
- En dos de los casos, varios usuarios descargaban generadores de llave y/o cracks sin consentimiento de la empresa para obtener versiones activadas de varios productos, creando una excepción de análisis en la carpeta que los contiene haciendo posible su ejecución, en la política de Bitdefender.
- Ninguno de ellos tenían activado el Hiperdetection, SandBoxing y/o EDR, funcionalidades imprescindibles hoy para la seguridad de los Endpoints.
Modus Operandi
Dos formas para detectar a posibles victimas.
- La primera (posiblemente) es escanear las IPs externas para detectar puertos abiertos en los firewalls y routers, focalizando su búsqueda en puertos de Escritorio Remoto/Terminal Server.
- La segunda, es aprovechar la creencia por parte del usuario de que la ejecucion de software no deseado no tiene peligro alguno. La amenaza puede quedar dormida semanas o incluso meses, vease keygen y cracks. Este software podría contener Payloads que permiten el acceso y ejecución de comandos elevados. Los Payloads son detectados por los antivirus pero la mala praxis de crear excepciones de carpetas y procesas evita su detección.
Acceso no autorizado
- Con técnicas de Croaking(*) conocen de las vulnerabilidades del equipo y haciendo uso de exploit-db.com rompen el login de entrada del Escritorio remoto. Esto sucede cuando los equipos no están plenamente actualizados.
- Con el uso del payloads y comandos elevados crean un usuario con permisos de acceso remoto.
En este momento tenemos al atacante literalmente esta delante de la pantalla de la victima como un usuario mas.
(*) Toda comunicación entre equipos viene precedido de un intercambio de información relativa a versiones de sistema operativo, sistemas implementados y plataformas usadas. Normalmente esta informacion se usa para mejorar el entendimiento y reserva de recursos. Pero también esta información puede ser usada para crear un patrón de ataque ajustado consultando las base de datos de vulnerabilidades en Internet o usando herramientas de penetración.
Deshabilitando la seguridad
En todos los casos nos hemos encontrado el famoso “process hacker 1” instalado en los equipos. Este software permite retirar, bloquear e incluso des-instalar cualquier proceso y aplicacion del equipo. Su ejecucion una vez mas desde excepciones de carpetas y procesos. El ataque lo usa para des-habilitar los procesos de Bitdefender.
Localización de Backups y puntos de restauración
Para que sea mas efectiva la extorsión, el atacante localiza posibles programas de Backup y los puntos de restauración de Windows. Estos serán eliminados o quedaran incluidos en el listado de ficheros a cifrar.
Ejecución de Bitlocker por extensiones
El atacante simulando ser un Ransomware procederá como todos ellos a cifrar todos los ficheros por extensiones del tipo dato + añadidos del backup (tanto en el equipo local como el recursos compartidos de la red) no protegidos por ataques laterales y permisos de escritura. Funcionalidades estas, ya disponibles en vuestra consola.
Ficheros reclamando el pago
En todos ellos, bien solo en el escritorio (1), o como es habitual en los ataques por Ransomware en cualquier de las carpetas cifradas (2), el atacante deja los ficheros *.txt dando explicaciones de como proceder el pago por Crypto-Moneda y una dirección de email. Ademas incluye información sobre el Ransomware utilizado. Esto es un engaño, ya que el patrón del cifrado no coincide con la denominación mencionada.
El hecho de la existencia de manera diferencial de estos ficheros (1) y (2) demuestra que son atacantes diferentes usando la misma dinámica. Como es obvio, el proceso se realizada de manera automatizada con la ejecución de comandos secuenciales.
Resumen de los pasos
Entendemos que realizarían los pasos intermedios no descritos y que aquí resumimos.
- Re-colección de información sobre la maquina victima.
- Acceso a la maquina vía remoto.
- Terminación de los procesos que podrían bloquear el acceso a escritura de los ficheros.
- Generación del par de claves publica/privada.
- Envió de una solicitud HTTP de comprobación inicial a su servidor C&C
- Para cada archivo en el sistema: genere una clave AES-256 aleatoria; utilízalo para cifrar el archivo; cifrarlo con la clave pública RSA y adjuntarlo al archivo cifrado
- Envió de un mensaje de confirmación al servidor de C&C.
- Eliminación de las copias de seguridad de archivos Windows Shadow para evitar su restauración.
Análisis y Solución a PSeudo-RansomWare
Creemos que el asalto a la redes de nuestros ha sido masiva. Pero solo en aquellos que han bajado la guardia en cuanto a la puesta en marcha de las nuevas funcionalidades (HyperDetection, SandBoxing, EDR) o han permitido la ejecucion de software no deseado por parte del usuario final con la creación de excepciones de análisis, han sido afectados. Hemos revisado historiales de navegación, descargas y cadenas de spam para verificar que no ha sido contagiado a través de vectores clásicos.
El factor común entre todos ellos; Uso de RDP, sistemas no parcheados y la mala praxis del usuario final. Estos tres factores han permitido el acceso a este tipo de atacante organizado.
Nuestra preocupación también se extiende hacia la ingeniería social. Hemos visto en los perfiles de las victimas aspectos comunes pero aun no tenemos una respuesta segura al respecto.
Os rogamos probéis los nuevos servicios añadidos a Business Security MSP:
Patch Managment
Complemento a Business Security MSP para obtener un inventario de software instalado, distribucion e instalacion de parches de seguridad. No solo del sistema Operativo sino tambien de +3000 fabricantes de software. Parchea la red de tus clientes con dos clicks!! Reduce la posibilidad del atacante a usar vulnerabilidades existentes.
Disk Full Encryption
Funcionalidad de apoyo al Business Security MSP y ajustado a la obligatoriedad de la GDPR con el cifrado de datos de carácter elevado o bien aquellos dispositivos de movilidad obligados también por ley. La clave de cifrado es guardada en un repositorio unificado de la consola GravityZone garantizando la restauración de la información. El cifrado de los datos es realizado por codificadores nativos de los sistemas operativos.
EDR (EndPoint Detection & Response)
Funcionalidad extraordinaria de apoyo a Business Security MSP cuya funcionalidad sirve como herramienta de análisis forense en tiempo real, creando mapas explicativos de amenazas y ataques en tiempo Real con el máximo detalle del mismo. Ademas proporciona información acerca de la sobre-exposición de datos y riesgos contraídos. Ordena la concatenación de procesos y la interacción de vectores, origen y estrategias empleadas en el ataque.
ATS (Advanced Threat Security)
El sistema de seguridad para amenazas avanzadas es una opción que acompaña a la base del agente de Business Security MSP combinando las funcionalidades de HyperDetection y SandBoxing. Cuando cualquiera de las dos funcionalidades es activada, este servicio queda contratado. Supone un gran avance contra las nuevas técnicas de Hacking y prevencion de amenazas avanzadas, imprescindibles hoy para la seguridad de los EndPoints de las redes de vuestros clientes.
HyperDetection
Funcionalidad que acompaña al Business Security MSP para proteger a los EndPoints de los ataques dirigidos, laterales y comportamiento sospechosas de aplicaciones. Esta funcionalidad esta recogida en el servicio ATS (Advanced Threat Security) junto con el SandBoxing. Supone un gran avance de seguridad al proteger equipos de amenazas provenientes de equipos y aplicaciones supuestamente de confianza.
SandBoxing
Nueva funcionalidad de apoyo para Business Security MSP que detona las descargas por los vectores de Web y Correo electrónico en un entorno externo al usuario y controlado por Bitdefender. La ejecucion en una plataforma igual a la que iba dirigida, permite analizar el contenido y comportamiento previo a la recepción en el EndPoint. Este servicio esta incluido en el ATS (Advanced Threat Security) junto con HyperDetection.