Publicación de Datos Post Ransomware
En marcha una nueva extorsión post ransom
Intro
Una segunda vía de extorsión ya está en marcha y todos los clientes que han sufrido alguna vez un ataque de secuestro de datos podrían estar expuestos, si éstos no ha denunciado la brecha de seguridad ante la GDPR.
Durante las últimas intervenciones de Reditelsa en clientes que deseaban incorporar a su seguridad la solución de Bitdefender (post-ataque) debido a que la solución anterior había sido ineficiente, detectamos en los registros de consumo de ancho de banda un alto incremento durante el fin de semana. Normalmente, este tipo de ataque se realiza los viernes, aprovechando que durante el fin de semana no existen controles humanos o bien los síntomas del cifrado de datos no se detectan. Este tiempo permite al atacante transferir los datos críticos de nivel alto a un lugar externo.
Puesta en marcha
La eficacia de la funcionalidad de EDR ( EndPoint Detection and Response ) ha permitido además detectar y frenar el ataque, permitiendo a Reditelsa obtener las herramientas del atacante (Toolkit) que usan para tal fin. La sorpresa fue mayúscula al descubrir, no sólo la elegancia y optimización del código en los scripts, sino también la conexión con nubes de alojamiento externo para depositar los datos del cliente.
¿Que uso harán de los datos robados?
La primera impresión sería que la intención fuese la obtención de claves, datos financieros, direcciones de correo o cualquier otro dato, para su uso en futuros ataques a terceros.
LA VERDAD PODRÍA SER OTRA.
Valorando el volumen de datos y la selección de los datos transferidos, bien podría tratarse de una exposición de datos en formato wikipedia en cualquier servidor en alguna república digital, incluyendo fechas y detalles del ataque; de tal forma que si la empresa atacada no ha denunciado y notificado a la Agencia Española de Protección de Datos AEPD su brecha de seguridad, por miedo a la sanción; ésta sea extorsionada con una nueva cantidad de Bitcoins recurrente.
“Creemos que esto está pasando desde principios del 2019. Además del secuestro de la información, los datos están siendo acumulados en algún lugar para más tarde extorsionar a las empresas con hacer pública la información. “
Redes y Equipos de Telecomunicación S.A ( Reditelsa )
Modus Operandi
Como anunciamos años atrás, el ataque se establece por combinación de varios vectores (Malware, Keyloggers, Ingeniería Social, Spam, phishing… ). Esto es una realidad conocida: hoy existe además una planificación previa junto a un análisis de daños por parte del atacante y la selección de los datos a robar. Esta ventana de planificación y ejecución puede durar semanas.
Os mostramos una gráfica de tiempo para entender el proceso.
Conclusión
Resumen:
- El correo electrónico sigue siendo un vector de ataque importante pero el Escritorio Remoto RDP a través de puertos con NAT se ha convertido un vector muy efectivo a grupos mas grandes de equipos en una red.
- El ataque no consiste solo cifrar los datos, AHORA también se ROBAN para mas tarde exponerlos en Internet y extorsionar de nuevo a la victima.
- La mala Praxis y la mala configuración de los equipos permiten una mayor penetración con privilegios elevados. Hagan uso de Bitdefender Risk Manager incluido en el paquete básico para impedirlo.
- Gran parte de este ataque se habría evitado si el cliente hubiera contratado PM (Bitdefender Patch Manager).
- El control de lo que ocurre en su red y las acciones por terceros dentro de su red, lo puede visualizar usando EDR (Bitdefender Endpoint Detection and Response)
No podemos ofrecer públicamente el contenido total de las herramientas y ficheros que hemos encontrado durante los Enero 2020. Pero podemos ofreceros acceso a ellos, mostraros su eficacia y sobretodo su elegancia en la elaboración del código en una sesión de formación.
Atentamente,
Sergio Vuelta (Área de Servicios Cloud/IT de Reditelsa)
Agradecemos que nos dejes un comentario si te ha parecido interesante esta información.
Contacto Reditelsa
Contacto Reditelsa