Recomendaciones frente al ciberataque “ransomware” dirigido a los Bancos en Perú, agosto 2018.

El viernes 17 de agosto, varios bancos en Perú, sufrieron un ataque informático aparentemente un malware de tipo #ransomware generando indisponibilidad de sus servicios en agencias y algunas de ellas tuvieron que cerrar. A pesar que el 12 de Mayo del 2017 el #ransomware #Wannacry afectó a más de 200,000 PCs y 15 paises, también afectando algunas empresas en Perú, claramente aún no estamos preparados.

Tomemos como experiencia lo que paso en el #BancoChile el 24 de mayo del presentre año. Ocho mil PCs del banco no reiniciaban. Según indican las fuentes noticiosas, las áreas de TI y Seguridad, focalizadas en resolver este problema.

Quince días después, el CEO del Banco indica que el ataque habría sido un evento distractor ya que les habían robado 10 millones de dólares a través de la red SWIFT, y que necesitaban hacer un análisis forense que les tomaría meses.

De acuerdo al CEO, los causantes del ataque habrían estudiado bien al banco, quizás durante meses, incluso involucrando a personal interno. La situación ocurrida en Chile fue sin duda muy complicada por toda la presión que tiene la banca de sus clientes, las nuevas exigencias del gobierno, y la superintendencia de la banca.

Debido la coyuntura actual y a estos últimos sucesos importantes, me reuní con diferentes amigos del área y hemos consolidado algunas recomendaciones para contribuir con la prevención y mitigación de riesgos frente a un ataque:

# Recomendaciones generales frente a un Ransomware:

  • Concientizar a toda la empresa en el manejo de información: correo electrónico, usbs, wifi, no hacer clicks en links desconocidos.
  • Conocer a tus proveedores y proteger el intercambio de información, ya que ellos pueden estar vulnerables.
  • Los procedimientos de respuesta frente a un incidente de seguridad deben estar documentados y el personal debe estar entrenado mediante simulacros de ataques como DDoS, Ransoware, etc.
  • Generar backups y probar el restore, tenerlo descentralizado.
  • Identificar las vulnerabilidades y parchar: SO,Aplicaciones de Negocio, tarea difícil pero involucrar a los proveedores SAP, Oracle, empresas de desarrollo de software.
  • Parchar a las últimas versiones de Windows, hasta lo revisado no afecta Linux o Unix.
  • Usar contraseñas “Strong_#S11t3r0_n%g” en todos los equipos.
  • Segmentar la red, teniendo en cuenta la data crítica. Ejemplo Para el caso de los Bancos: La red de Cajeros debe estar en una red diferente a la red de las Agencias, sabiendo que los Cajeros usan Windows.
  • Implementar sistemas de anti malware para el tráfico de Microsoft 445-tcp/CIFS, RDP-3389/tcp, navegación 80-tcp/http, 443-tcp/https, 53-udp/dns, correo: 25-tcp/smtp, pop3, imap, outlook, trafico de negocio: ERP, SAP, Oracle, Base de datos: 1433/tcp.
  • Siempre estar atento a boletines de Alertas entidades de seguridad independientes (SANS: https://isc.sans.org/, US-CERT: https://www.us-cert.gov/, ) y fabricantes (Microsoft, Mcafee, Cisco, Fortinet, etc). Acerca del incidente del Banco de Chile, observar lo que Trendmicro alerta en Enero:
Image for post
Image for post
  • Monitorear los Firewalls/IDS/IPS y bloquear listas de IPs que indican de nuevos ransomwares, y actualizar firmas de IDS/Snort/Suricate y puertos que ha reportado en estos boletins.
  • Implementar sistemas de monitoreo que te permita visualizar conexiones extrañas hacia direcciones IP de paises que no haces transacciones, etc.
  • Regularmente hacer un Hacking Etico desde Internet hacia tus servidores, realizarlo también en tu red Interna con empresas especializadas que no tengan ningun servicio para que sean totalmente independientes.

### Fin Recomendaciones.

Sin confirmar, aparentemente se trata del #ransomware SamSam (tambien como SamSa y Samas), que más adelante explicaremos con información, pública de diferentes fabricantes:

SAMSAM (RANSOM_CRYPSAM.B) — Discovered in March 2016, SAMSAM is installed after the attackers exploit vulnerabilities on unpatched servers — instead of the usual malicious URLs and spam emails — and uses these to compromise other machines.

Image for post
Image for post

Se observa que primero hackea un servidor que este publicado a Internet, sí esta vulnerable con versiones desactualizadas de sistema operativo, aplicación, credenciales débiles, protección perimetral insuficiente para luego escalar privilegios, por ejemplo hackea un Web Server IIS/Terminal Server (RPD Server).

Image for post
Image for post
Image for post
Image for post

Aqui un fragmento de los pasos previos que hace este ransomware:

# Recomiendo darle una leída al siguiente texto:

# Fuente: Darkreading, inside-a-samsam-ransomware-attack

“SamSam follows this playbook. It uses tools such as Mimikatz to steal valid user credentials and common IT management tools to move malware to new hosts. Attackers and their malware are increasingly reliant on Mimikatz and other common tools, such as PsExec — associated with everything from PoS malware to webshells — to spread through a network and do damage. Once hackers have compromised a set of privileged credentials, they use the stolen identity to access additional assets in the network. Next, attackers use legitimate administrator tools, such as PsExec or WMIexec, to remotely run code on additional machines”.

“Hacker Innovation
When it comes to stringing together vulnerabilities to avoid detection, prolong dwell time, and infect larger numbers of machines, hackers are innovative. For example,
Remote Desktop Protocol (RDP), a standard Microsoft component, has been identified as a weak point that hackers seek because it provides an easy channel of attack. All they have to do is crack the password, and they are free to move laterally, execute malware, and encrypt data.”

# Fin

Una vez que tiene acceso a un servidor (Terminal Server), realiza un scan a la redes cercanas para identificar una PC o Servidor Windows vulnerable utilizando el AD Directorio Activo. Luego en la victima busca una lista de archivos con las siguientes extensiones para finalmente encriptarlos y pedir un rescate:

  • .xls, .,xlsx, .pdf, .doc, .docx, .ppt, .pptx, .txt, .dwg, .bak, .bkf ,.pst, .dbx
  • .zip, .rar, .mdb, .asp, .aspx, .html, .htm, .dbf, .3dm, .3ds, .3fr, .jar
  • .3g2, .xml, .png, .tif, .3gp, .java, .jpe, .jpeg, .jpg, .jsp, .php, .3pr
  • .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .kbx, .acr, .act.adb
  • .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asx, .avi, .awg,
  • .back, .backup, .backupdb, .pbl, .bank, .bay, .bdb, .bgt, .bik
  • .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6
  • .tib, .csv, .dac, .db, .db3, .db-journal, .dc2, .dcr, .dcs, .ddd, .ddoc
  • .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .dot, .docm
  • .qbm. .qbr,.qbw, .qbx, .qby, .r3d, .raf, .rat, .raw, .rdb, .rm, .rtf
  • .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7
  • .war, .wallet, .wav, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla

El mensaje es “HELP_DECRYPT_YOUR_FILES”:

Image for post
Image for post

Written by

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store