Ciberataque a Telecom Argentina

La presente publicación tiene como objetivo aprender del Ciberataque a través de recolección de información pública por ello no se puede tomar los datos, imagenes, twitts como hechos fidedignos ya que no han sido validados.

Sin embargo, la siguiente recolección de hechos, recomendaciones pueden servir como referencia para estudiar y tomar medidas preventivas para un futuro ciberataque.

Como todos sabemos el día sábado 18 de Julio en las redes sociales empezaron a circular mensajes sobre que Telecom Argentina había sido afectada por un ciberataque de dipersión global y que no había afectado servicios críticos:

Según Segu-Info donde en cada momento ha actualizado su blog durante ese fin de semana, en resumen rápido nos comparte:

“Al parecer el ataque ha sido sobre archivos Office365 y OneDrive de empleados de Telecom Argentina. De acuerdo a distintas fuentes, se trataría del ransomware REvil (también conocido como Sodinokibi) que se identificó por primera vez el 17 de abril de 2019. Este ransomware es utilizado por el grupo de amenazas GOLD SOUTHFIELD se distribuye el ransomware a través de:

  • Kits de explotación

Gracias a Segu-info nos vamos concentrando que el ciberataque se trata del Ransomware Sodinokibi que sigue el modelo RaaS (Ransomware as a Service), se puede tomar como referencia que al menos 18,000 equipos afectados y el escalamiento de privilegios a Domain Admin por parte de los atacantes.

Punto común de otros tipos de ransomware que aprovechan alguna vulnerabilidad del servicio RDP expuesto a todo Internet sin parchar o con usuarios/passwords debiles.

Gracias a la cuenta de Alex Kruger @krugermacro comparten el siguiente mensaje el 18 de Julio a las 07:13 pm:

Adicionalmente en la cuenta @GuyWithAMask4 el 18 de Julio a las 10:03 pm, comparte un mensaje de service desk:

Incidente Masivo:

Aplicación: Virtual Access

Detalle: Inconvenientes masivos de acceso en los Aplicativos Genesys PIC, Siebel Movil, Fija,etc. a través de la plataforma Virtual Access. No podrán acceder a los escritorios.

Fecha de inicio: 18/07/2020 13:20 hs

Impacto: Alta

Negocio: todos

Tambien se puede ver el mensaje de los atacantes:

“General-Decryptor price - the price is for all PCs of your infected network”

El precio para desencriptar todas las PCs de tu red infectada es 109,345 XMR equivalente a 7.5 Millones USD, advierten que tienen 02 días y si no realizas el pago el precio se duplicará a 15 Millones USD (218,690 XMR) la fecha final será el 21 de Julio a las 20:23:48

Por otro lado, en la cuenta El Periodista publicó archivos de una PC infectada mediante el siguiente twit a las 8:43 pm del sabado 18 de Julio es importante señalar que esta información no esta validada, por ello tomarlo como referencia, fijarse la fecha y hora de modificación de los archivos: 18/07/2020 01:30 p.m. Extensión: 24ez94g4.

Aparentemente el ransomware habría llegado por correo electrónico en un archivo adjunto a una PC de los agentes, a continuación el archivo Readme.txt que por lo general este archivo es dejado por los atacantes del Ransomware, esta información fue recolectada de la página del periodista.com.ar

De acuerdo a Incibe-cert, el ransomware Sodinokibi tendrías los siguientes métodos de infección:

  • El envío de correos maliciosos, mediante campañas de spam.

Adicionalmente a ello, sumo:

  • Vulnerabilidad que afecta sistemas Citrix CVE-2019–19781

Cómo funciona el Ransomware Sodinokibi:

Para intentar comprender el funcionamiento de este ransomware me he basado en la documentación de INCIBE:

El archivo ejecutable empaqueta todas las cadenas de texto, nombres de librerías y archivos DLL mediante el algoritmo criptográfico RC4, utilizando diferentes técnicas de evación, escalamiento de privilegios con el exploit CVE-2018–8453:

Fuente Principal: https://www.incibe-cert.es/blog/sodinokibi-caracteristicas-y-funcionamiento

Haciendo un breve análisis:

  1. Correo elelectrónico: Observo que han estado usando Office 365 y One Drive, aqui los atacante estan apelando a Ingenieria Social para enviar correos dirigidos con mensajes de contenido cercano a la empresa para que cualquier empleado pueda caer en la trampa.

Vulnerabilidades Identificadas:

Vamos hacer un breve resumen de las posibles vulnerabilidades usadas para este tipo de ransomware REvil, por ello describiremos vulnerabilidades relacionadas a:

RDP:

CVE-2020–0609 | Windows Remote Desktop Gateway (RD Gateway) Remote Code Execution Vulnerability
Security Vulnerability
Published: 01/14/2020 | Last Updated : 01/16/2020

Existe una vulnerabilidad de ejecución remota de código en Windows Remote Desktop Gateway (RD Gateway) cuando un atacante no autenticado se conecta al sistema de destino mediante RDP y envía solicitudes especialmente diseñadas. Esta vulnerabilidad es la autenticación previa y no requiere la interacción del usuario.

Security Updates: A continuación mostramos los updates que recomienda Microsoft:

Mitigaciones: A la fecha Microsoft aún no ha identificado algun factor de mitigación para esta vulnerabilidad.

Revisiones: Las versiones son del mes de Enero 2020

Citrix:

CVE-2019–19781 Se ha identificado una vulnerabilidad en Citrix Application Delivery Controller (ADC) anteriormente conocido como NetScaler ADC y Citrix Gateway anteriormente conocido como NetScaler Gateway que, si se explota, podría permitir que un atacante no autenticado realice la ejecución de código arbitrario. Fecha de creación 17 Diciembre 2019, Fecha de Modificación 24 de Enero 2020.

El alcance de esta vulnerabilidad incluye Citrix ADC y Citrix Gateway Virtual Appliances (VPX) alojados en cualquiera de Citrix Hypervisor (anteriormente Xen Server), ESX, Hyper-V, KVM, Azure, AWS, GCP o en un dispositivo Citrix ADC Service Delivery Appliance (SDX).

La investigación adicional realizada por Citrix ha demostrado que este problema también afecta ciertas implementaciones de Citrix SD-WAN, específicamente la edición Citrix SD-WAN WANOP. La edición Citrix SD-WAN WANOP empaqueta Citrix ADC como un balanceador de carga, lo que resulta en el estado afectado.

Ejecución de exploits que aprovechan esta vulnerabilidad en applianes no actualizados se han observado en Internet. Citrix recomienda encarecidamente a los clientes afectados que actualicen de inmediato.

Adicionalmente el 22 de Enero FireEye y Citrix publican una herramienta que permite identificar si tu appliance esta comprometido con la vulnerabilidad CVE-2019–19781:

https://www.fireeye.com/blog/products-and-services/2020/01/fireeye-and-citrix-tool-scans-for-iocs-related-to-vulnerability.html

La herramienta tambien lo puedes descargar de :

https://github.com/fireeye/ioc-scanner-CVE-2019-19781/blob/master/README.md

Desde tu appliance Citrix puedes descargarlo y podra identificar en los siguientes archivos si tu appliance ha sido vulnerado:

This scanner can identify:

Para ejecutarlo:

Esta herramienta esta diseñada para las siguientes productos de Citrix:

  • Citrix ADC and Citrix Gateway version 13.0

Exploits:

Para los productos Citrix haciendo una rápida busqueda encontramos los siguientes exploits disponibles para los diferentes productos de Citrix respecto al año 2019 y 2020 en la página de Exploti-db:

Revisando los exploits publicados en el año 2020 encontramos un Remote Code Execution (Metasploit):

https://www.exploit-db.com/exploits/47913

Citrix Application Delivery Controller and Gateway 10.5 — Remote Code Execution (Metasploit):

El siguiente exploit 47913 ha sido desarrollado por el Autor mekhalleh:

'Author' => [
'RAMELLA Sébastien' # https://www.pirates.re/

Oracle web Logic

La vulnerabilidad relacionada es la CVE-2019–2725 es una vulnerabilidad de deserialización en Oracle Web Logic Server, implica ejecución remota de código y se puede explotar de forma remota sin autenticación, es decir, puede explotarse en una red sin la necesidad de un nombre de usuario y contraseña.

Versiones Vulnerables:

  • Oracle WebLogic Server, versión: 10.3.6.0

IOCs (Indicators of Compromises):

Según @SeguInfo, Post del 21 de Julio

Actualizado a última hora lo que se sabe del ataque de #ransomware #Revil #Sodinokibi de #Telecom y los IOCs involucrados: https://blog.segu-info.com.ar/2020/07/ataques-de-ransomware-orange-y-telecom.html

IOC’s -> http://pastebin.com/L0RqUNVL #Ransomware

dc732c1ebfd20e219236289f1815830abd704bc340e8e35966754666c1a2cd01909b520c493bd868b94e361035c425a343786cf06b935d3a01621dffd849e0fe9793e0ba85d2b0c14960b6cc506fe2aecb952795e167d504e2701b4dd399dbb62c5748124b8609d1cf71a44d77177c9a92bca21f9d9be9c487fdaf6072500f1534a813a1016a70161b66e00c628d9eddb97ecfa78e2272de2e7e86f8c981a9e96f2432e4ac98575aa653094123b478bf6c3aa9b00aaad84dfd09045a96d6b970

firstpaymentservices.com
krcove-zily.eu
www.beaconhealthsystem.org
mardenherefordshire-pc.gov.uk
beaconhealthsystem.org
extraordinaryoutdoors.com
acomprarseguidores.com
leda-ukraine.com.ua
naturavetal.hr
stopilhan.com
www.naturavetal.hr
corelifenutrition.com
softsproductkey.com

144.202.62.148
109.74.144.58
172.67.144.41
23.20.239.12
104.20.208.67
78.46.2.139
142.93.110.250
104.31.65.194
157.230.111.207
144.76.156.118

############################################

0fa207940ea53e2b54a2b769d8ab033a6b2c5e08c78bf4d7dade79849960b54d
34dffdb04ca07b014cdaee857690f86e490050335291ccc84c94994fa91e0160
74bc2f9a81ad2cc609b7730dbabb146506f58244e5e655cbb42044913384a6ac
95ac3903127b74f8e4d73d987f5e3736f5bdd909ba756260e187b6bf53fb1a05
fa2bccdb9db2583c2f9ff6a536e824f4311c9a8a9842505a0323f027b8b51451
8ed5327cf869893d6099df145c49aec08c86faa6
8e14c8062d9fada0f23d1be3cd1ae24437aef093
083d35fbe692805d4ca1292debde192291b1b72f
d2ac2ae0b4674876b2daff8defe96007558f239d
2e1521865bd4b39aa72011e859406177d7f7b09e

http://188.166.74.218/office.exe
http://188.166.74.218/radm.exe
http://188.166.74.218/untitled.exe
http://45.55.211.79/.cache/untitled.exe

188.166.74.218
45.55.211.79
5.101.0.202
23.81.143.21
102.129.224.148
130.61.54.136

Revisando algunos de los IOCs:

0fa207940ea53e2b54a2b769d8ab033a6b2c5e08c78bf4d7dade79849960b54d

File: sodinokibi.exe

Tamaño: 290.00 KB

https://www.virustotal.com/gui/file/0fa207940ea53e2b54a2b769d8ab033a6b2c5e08c78bf4d7dade79849960b54d/detection

Desde Cisco Talos:

Acciones en el File System y Acciones en el Registry:

Comandos shells, arbol de procesos y mecanismos de sincronización:

Mutexex Abiertos y Módulos cargados (lista completa mejor verlo en el link de ejecución)

34dffdb04ca07b014cdaee857690f86e490050335291ccc84c94994fa91e0160

https://www.virustotal.com/gui/file/34dffdb04ca07b014cdaee857690f86e490050335291ccc84c94994fa91e0160/details

File: sodinokibi.exe

Tamaño: 292.34 KB

Acciones en el File System y Acciones en el Registry:

Registry Keys Set, comandos shells y arbol de procesos:

74bc2f9a81ad2cc609b7730dbabb146506f58244e5e655cbb42044913384a6ac

File: Msvc

Tamaño: 667.50 KB

Names: Msvc

  • myfile.exe

https://www.virustotal.com/gui/file/74bc2f9a81ad2cc609b7730dbabb146506f58244e5e655cbb42044913384a6ac/detection

Relaciones:

Tráfico de Comunicación:

IP Traffic

  • 239.255.255.250:1900 (UDP)

Acciones en el Sistema de Archivo:

Archivos borrados y copiados:

Acciones en el Registry: Opened, Deleted, Creación de Procesos, Comandos Shells:

Update de Revil IOCs al 30 de Agosto:

#REvil SHA256:

1363b70d46c3af4d0794ecf650e3f50ceb3f81302e6059e42d94838e9ada1111 C2:

101gowrie.com,
123vrachi.ru,
12starhd.online,
1kbk.com.ua,
1team.es,
2ekeus.nl,
321play.com.hk,
35–40konkatsu.net,
365questions.org,
4net.guru,
4youbeautysalon.com,
8449nohate.org,
DupontSellsHomes.com,
aakritpatel.com,
aarvorg.com,
abitur-undwieweiter.de,
abl1.net,
abogadoengijon.es,
abogados-en-alicante.es,
abogadosaccidentetraficosevilla.es,
abogadosadomicilio.es,
abuelos.com,
accountancywi

1363b70d46c3af4d0794ecf650e3f50ceb3f81302e6059e42d94838e9ada1111 C2:

IOC: BgACA4cX.exe https://www.virustotal.com/gui/file/1363b70d46c3af4d0794ecf650e3f50ceb3f81302e6059e42d94838e9ada1111/detection

Recomendaciones Generales:

  1. Backup, Backup, Backup -> Restore, Restore, Restore. Se recomienda implementar un proceso para realizar el Backup y el Restore diario/semanal dependiendo del Negocio de la Empresa para determinar el tiempo de restauración y la calidad de los datos. Adicionalmene se recomienda que el Backup no se conecte a la red, ya que en general los ransomware buscan archivos de tipo: .bkp, backup entre otros tipo de archivos para cifrarlos también.

Desabilitar Powershell usango GPO Global Policy:

Ingresar a Management Console, el procedimiento original ha sido revisado en el siguiente link:

Editas las configuraciones del GPO -> User Configuration -> Policies -> Windows Settings -> Security Settings -> Software Restriction Policies:

Añades una regla: “New Path Rule”:

En Path le damos la ruta del ejecutable que frecuentemente es: C:\Windows\System32\WindowsPowerShell\v1.0 y luego en Security level: “Disable”

Finalmente debes rebootear el computador para que la política tome efecto, luego si intentan ejecutar power shell, saldria el siguiente mensaje:

Recomendaciones Durante el ciberataque:

Tomaré como referencia lo que la empresa ha indicado en su primera comunicación para sus empleados:

1.- Minimizar al máximo los accesos a la red corporativa: No usar el acceso remoto como RDP, Citrix sobre todo si estas usando una versión vulnerable!!!.

2.- No utilizar los accesos de VPN: Minimizar el acceso remoto por que si la maquina de casa esta infectada podría propagar el malware a le red corporativa desde tu casas.

3.- No abrir mails que contengan archivos adjuntos: El correo electróonico principal fuente de distribución del Ransomware.

4.- No abrir mails de destinatarios desconocidos: El correo electrónico principal fuente de distribución del Ransomware.

5.- No abrir ni ejecutar archivos desconocidos: Ya que algunos malware se podrían camuflar en popups, mensajes de actualizaciones de S.O, Navegador, etc.

6.- En el caso de que la PC/Notebook se vea infectada, apagarla: Para que la máquina infectada no siga propagando el malware dentro de la red de la casa del trabajador y sí esta haciendo un túnel VPN hacia la empresa empezará a propagarse hacia la red corporativa desde tu casa.

7.- Informaremos los canales de comunicación para cualquier usuario que se vea afectado:

Clave tener un canal oficial dentro de la empresa donde reportar un incidente: Contacto: Correo, Teléfono, Whastapp, 24x7 y que este se ha reportado a través de Service Desk para que este registrado.

Fuentes:

Fuente 1: Diario La Nacion, 19 de Julio:

https://www.lanacion.com.ar/tecnologia/reportan-ataque-ransomware-telecom-piden-us75-millones-nid2399977

Fuente 2: El Periodista, 18 de Julio:

https://www.elperiodista.com.ar/2020/07/ciberataque-al-grupo-telecom-millones.html

Fuente 3: Segu-info, 18 de Julio:

https://blog.segu-info.com.ar/2020/07/ataques-de-ransomware-orange-y-telecom.html

Fuente 4: Ransomware Sodinokibi, https://malware.wikia.org/wiki/Sodinokibi

Fuente 5: Alex Krüger @krugermacro , 18 de Julio

https://twitter.com/krugermacro/status/1284642410258214914

Fuente 6: GuyWithAMask @GuyWithAMask4, 18 de Julio

Fuente 7: Vulnerabilidad Citrix CVE-2019–19781

Fuente 8: IOC Scanner tool Citrix CVE-2019–19781

Fuente 9: Citrix Application Delivery Controller and Gateway 10.5 — Remote Code Execution (Metasploit) exploit-db.com/exploits/47913

Fuente 10: Deep Dive in to Citrix ADC Remote Code Execution, CVE-2019–19781

Fuente 11: RDP Vulnerabilidad CVE-2020–0609 | Windows Remote Desktop Gateway (RD Gateway) Remote Code Execution Vulnerability

Fuente 12: IOC’s REvil / Argentina

Fuente 13: Instituto de Ciberseguridad España, Kit de Concienciación

Fuente 14: Desarrollo de Kit de Concienciación, publicación en blog.

Fuente 15: Desabilitar Power Shell utilizando un GPO Global Policy

Fuente 16: Ransomware Sodinokibi por Incibe-CERT

Fuente 17: Vulnerabilidad que afecta a sistemas Oracle Oracle Security Alert Advisory — CVE-2019–2725

Fuente 18: Vulnerabilidad que afecta a sistemas Pulse VPN Servers CVE-2019–11510 y CVE-2019–11539

Fuente 19: Critical Pulse Secure VPN vulnerability — CVE-2019–11510, Bad Packets: We notified Travelex about their vulnerable Pulse Secure VPN servers on September 13, 2019.

Fuene 20: Vulnerabilidad en productos Microsoftque utilizan los atacantes para Escalamiento de Privilegios CVE-2018–8453

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store