De un tiempo a esta parte se habla mucho del término RANSOMWARE en el ámbito de la Ciberseguridad y en los departamentos de IT dentro de las organizaciones. Todos conocemos sus terribles consecuencias desde una perspectiva de impacto en la continuidad de los procesos de negocio de las organizaciones. En los ultimos años se ha erigido como el enemigo número uno de las empresas en materia de ciberseguridad. Extraña es la persona, que aunque fuera del sector, no conozca alguna infección por RANSOMWARE.

En este nuevo artículo de nuestro blog, describiremos que es por definición un RANSOMWARE, como ha ido evolucionando desde su aparición allá por el año 2017 ( p.e Wannacry o Petya) y explicaremos a través de un caso práctico como afrontar un episodio de ataque de un RANSOMWARE, desde nuestro punto de vista.  Todo ello desde nuestra experiencia esperamos destacar porque consideramos tan importante la prevención en materia de seguridad y la protección de nuestros sistemas.

Definición y evolución

Un RANSOMWARE también conocido como Scareware es una categoria de malware (software malicioso) que «secuestra» los sistemas informáticos a través de una herramienta tan común, como legítima en seguridad como es el cifrado de datos, y creemos que es allí donde radica su complejidad, porque este mecanismo de protección la realizamos a diario en nuestros desarrollos. Los RANSOMWARE, una vez propagados restringen el acceso a los sistemas, exigiendo posteriormente un rescate para eliminar esta restricción.

En su inicios los primeros malware criptograficos empleaban una clave simétrica, lo que suponía el uso de la misma clave tanto para cifrar como para descifrar.  Con el tiempo los ciberdelicuentes empezaron a evolucionar hacia algoritmos de cifrado asimétricos, teniendo sólo ellos las claves privadas para el descifrado de los ficheros. La evolución se ha producido tambien hacía variantes de algoritmos cada vez más sofisticados.

Pero no sólo la evolución radica en la concepción de los mecanismos de cifrado sino en la forma en que se produce el ataque. Los primeros RANSOMWARE se propagaban de manera más general, por ejemplo a través de campañas masivas de spam, los actuales se presentan a través de ataques dirigidos a menor escala, pero más efectivos al momento de penetrar, atacando objetivos concretos explotando vulnerabilidades, ofuscando código antes del proceso de compilación o simplemente actuando sobre proceso o servicios para lograr acceder a sistemas «core» dentro de las organizaciones.

Precisamente un ejemplo de esta evolución ha sido el RANSOMWARE denominado RYUK y que es una variante más sofisticada que el HERMES, que ha establecido ataques dirigidos a organizaciones muy concretas. Verticales como industria , sanitario y aquí en España concretamente a Ayuntamientos. Su mecanismo de cifrado está diseñado para operaciones de pequeña escala, penetrando en primera instancia descifrando una contraseña RDP débil para escalar privilegios realizando la propagación en los sistemas informáticos antes de encriptarlos, teniendo un nivel de profundidad de ataque que lo hace aún más peligroso y difícil de detectar.

Caso real de un ataque.

Como no hay mejor manera de demostrar conocimiento sino a través de la experiencia, recientemente nos tocó asesorar a uno de nuestros clientes para afrontar un ataque de RANSOMWARE en sus sistemas informáticos, donde se detectaron los primeros sintomas en el mal funcionamiento del servidor de base de datos y posteriormente se detecto en algunos equipos la presencia de ficheros encriptados y un fichero .html con dos direcciones de correo, habitual en este tipo de ataques, para el envío del rescate de los sistemas secuestrados.

Se confirma que el RANSOMWARE es el RYUK, porque se detectan inicios de sesión en escritorios remotos con un usuario desconocido ajeno a la organización. EL ATAQUE ERA INMINENTE

Como sucede en estos casos, como primera medida, se apagaron los equipos y se aislaron los servidores de la red para que no continue la propagación y se procedió a la actualización del antivirus corporativo Kaspersky en los equipos y servidores.

Se detectó un segundo síntoma, se observan rastros del virus en forma de ejecutables y  la afectación a las políticas GPO del servidor de dominio de Windows, realizándose la propagación a través del despliegue de las políticas, era evidente que la profundidad del ataque era tal, que resultaba casi imposible evaluar el impacto y el alcance de las afectaciones en los sistemas informáticos.

Se realizan pruebas y análisis con el antivirus Kaspersky para la detección y eliminación del virus, sin éxito.

Se decide restaurar de copia de seguridad e instalar los sistemas desde su configuración inicial, después del fallido intento de resolución a través del software corporativo de antivirus, al intentar restaurar las copias de seguridad se detectaron dos problemas, el tiempo de recuperación debido a la infraestructura actual de protección de datos y backup y sus elementos que lo componen dentro de un proceso de restauración y lo más grave, la inaccesibilidad a algunas copias de seguridad, dentro del sistema de backup.

Era más que evidente que nos encontrábamos ante un escenario, no sólo de ataque inminente de un RANSOMWARE y sus consecuencias, sino ante una situación posterior de aplicación de correctivos y mitigación de la incidencia que no daban los resultados esperados y que en un escenario de crisis, disrupción e indisponibilidad de los procesos de negocio se hace más que patente, porque el tiempo jugaba en contra y no se encontraba una solución definitiva al problema ni la garantía de que no se vuelva a producirse un nuevo brote de los síntomas, dada la profundidad del ataque, característica fundamental de estas nuevas variantes de ataque de RANSOMWARE como hemos mencionado.

Por tanto, quedaba un largo camino hacía el restablecimiento de los sistemas, con las consecuencias que esto supone a nivel operativo, pero sobre todo de negocio.

Diagnóstico

De acuerdo con los síntomas, la afectación y a las características de ataque, todo indica que el inicio del incidente provino de una campaña específica de envío masivo de correos maliciosos que suplantaban la identidad de un usuario en los que había anexado un documento de tipo «WORD», a pesar de que a nivel de cabecera del mensaje se veía claro que no provenía del servidor de correo corporativo, es probable que muchos usuarios procedieran a ejecutarlo, pensando que era un documento inofensivo de trabajo habitual, esto provocó la ejecución de una «macro» incluida en este documento que debía instalar algún tipo de software malicioso (p.e trickbot) para poder desplegar el ransomware Ryuk tras una fase de post-explotación y utilizando herramientas tipo «Cobalt Strike» de índole profesional.

El software de antivirus Kaspersky no pudo detectarlo como un posible elemento malicioso posiblemente porque muchos de los equipos de los usuarios no tenían actualizada la última actualización y las firmas asociadas.

Una vez dentro y antes de encriptar ficheros, este tipo de RANSOMWARE buscó los elementos Core sobretodo servidores de Bases de Datos o de Directorio Activo  aprovechando vulnerabilidades de sistema operativo y deficiencias en gestión de contraseñas y permisos habilitando sesiones de escritorio remoto con usuarios desconocidos, como fue en este caso, además del mal uso de las cuentas con privilegios de administrador que facilitó la propagación de la GPO y la profundidad del ataque, precisamente esta facilidad de accesos a los sistemas pudo ser el motivo de la posible afectación del sistema de backup con el objetivo de no poder recuperar los datos afectados.

Resolución y planes de acción

Ante este tipo de situaciones, desde Open3s recomendamos, aunque suene a tópico, mantener la calma en la toma de decisiones, porque cualquier paso en falso en los planes de acción estipulados puede suponer una pérdida importante de tiempo que impacta directamente en los plazos establecidos de restauración y por ende en el negocio.

No tener una visión clara de la afectación, es un problema común en estos episodios de ataque, por tanto, nuestra recomendación fue empezar desde la configuración inicial de los sistemas, restaurando de manera rápida los datos y los servicios, estableciendo un orden a partir de los sistemas más críticos conociendo la correlación entre ellos, para el restablecimiento de manera escalonada de los servicios, por tanto…

Fue fundamental encontrar un sistema de antivirus, que sea capaz de detectar y eliminar este tipo de ataques y que además sea de fácil despliegue y gestión ante este tipo de situaciones. Por este motivo nuestra recomendación fue SentinelOne, porque no sólo detecto y eliminó el virus, sino que nos garantiza desde el Endpoint una protección con más profundidad que su antecesor. Sobre todo entiende el comportamiento para identificar cuando algo es malicioso, venga de una GPO o con credenciales validas ..

Establecimos un plan de acción por fases para ir restableciendo los servicios, para esto fue sumamente importante tener un gobierno de la infraestructura y cada una de sus capas y elementos, para no dejar ningún cabo abierto, desde el usuario, servidores y los sistemas de backup.

De esta manera garantizamos, una vez detenido el ataque, tener un control de los servicios a medida se vayan restableciendo.

Lecciones aprendidas.

Es evidente que por naturaleza somos reactivos más que proactivos y actuamos en consecuencia, como hemos mencionado, este tipo de ataques evolucionan muy rápidamente y es razón fundamental para estar prevenidos y sobre todo tener definidos planes de acción en constante evolución para prevenir, identificar y mitigar lo máximo posible las afectaciones ante un episodio de esta índole, es importante tener los elementos necesarios en nuestra infraestructura para establecer un plan de continuidad de negocio en condiciones.

Les dejamos unas recomendaciones, de acuerdo con nuestra experiencia, que debemos de tomar en cuenta.

  • Tener un inventario y diagramas actualizados de nuestra infraestructura IT en sus diferentes capas y elementos.
  • Tener un plan de actualización periódico de los sistemas y aplicaciones, esencialmente a nivel de sistema operativo.
  • Tener un plan de seguridad de las aplicaciones y sistemas informáticos, a través de políticas por ejemplo de contraseñas seguras.
  • Tener actualizado el software de antivirus en todos sus niveles, desde el usuario, servidores y los sistemas de ficheros.
  • Tener una solución de protección de correo, que nos garantice la detección, análisis y detención de cualquier ataque de Malware o Pishing. Con la granularidad y visibilidad adecuada para la rápida detección de un episodio de ataque.
  • Establecer un gobierno elaborado y actualizado de los servicios de directorio, como el Directorio Activo, para la gestión de usuarios, permisos, grupos y políticas de toda nuestra infraestructura.
  • Tener un sistema de backup que nos garantices niveles de recuperación inmediata, consistencia de las copias de seguridad en función de las aplicaciones y sobre todo ser inmutables y seguros ante cualquier ataque de RANSOMWARE o de otra índole.
  • Tener un sistema de ficheros estructurado a nivel de accesos y permisos, que posea o se integre a un sistema de protección antivirus. Así mismo, se debe valorar tener analíticas de comportamiento de ficheros y auditorias, siendo una de las maneras de detectar un ataque.
  • Tener políticas, procedimientos o formación de concienciación a nivel usuarios finales, con la finalidad de que sean capaces de detectar o sospechar que están siendo víctimas de un ataque.

Si después de leer este artículo, sientes que tu organización podría ser víctima de un ataque de estas características, desde Open3s estaremos encantados de poder ayudarte a definir un plan de seguridad y de gobierno de tu infraestructura para prevenir episodios de este tipo, tenemos en nuestro portfolio soluciones que nos permiten garantizar de manera eficiente, la continuidad de negocio dentro de las organizaciones.

Créanme, en estos tiempos donde los ciberdelicuentes están constantemente buscando y perfeccionando métodos de ataques, no debemos ser menos así que…

No debemos bajar la guardia…

Autor: Carlos Zavala Pasco, Area manager Sistemas, Virtualización y Cloud.