Ciberataque a Telecom Argentina

Cesar Farro
14 min readJul 21, 2020

--

La presente publicación tiene como objetivo aprender del Ciberataque a través de recolección de información pública por ello no se puede tomar los datos, imagenes, twitts como hechos fidedignos ya que no han sido validados.

Sin embargo, la siguiente recolección de hechos, recomendaciones pueden servir como referencia para estudiar y tomar medidas preventivas para un futuro ciberataque.

Como todos sabemos el día sábado 18 de Julio en las redes sociales empezaron a circular mensajes sobre que Telecom Argentina había sido afectada por un ciberataque de dipersión global y que no había afectado servicios críticos:

Según Segu-Info donde en cada momento ha actualizado su blog durante ese fin de semana, en resumen rápido nos comparte:

“Al parecer el ataque ha sido sobre archivos Office365 y OneDrive de empleados de Telecom Argentina. De acuerdo a distintas fuentes, se trataría del ransomware REvil (también conocido como Sodinokibi) que se identificó por primera vez el 17 de abril de 2019. Este ransomware es utilizado por el grupo de amenazas GOLD SOUTHFIELD se distribuye el ransomware a través de:

  • Kits de explotación
  • Técnicas de exploración
  • y explotación servidores RDP expuestos

Gracias a Segu-info nos vamos concentrando que el ciberataque se trata del Ransomware Sodinokibi que sigue el modelo RaaS (Ransomware as a Service), se puede tomar como referencia que al menos 18,000 equipos afectados y el escalamiento de privilegios a Domain Admin por parte de los atacantes.

Punto común de otros tipos de ransomware que aprovechan alguna vulnerabilidad del servicio RDP expuesto a todo Internet sin parchar o con usuarios/passwords debiles.

Gracias a la cuenta de Alex Kruger @krugermacro comparten el siguiente mensaje el 18 de Julio a las 07:13 pm:

Adicionalmente en la cuenta @GuyWithAMask4 el 18 de Julio a las 10:03 pm, comparte un mensaje de service desk:

Incidente Masivo:

Aplicación: Virtual Access

Detalle: Inconvenientes masivos de acceso en los Aplicativos Genesys PIC, Siebel Movil, Fija,etc. a través de la plataforma Virtual Access. No podrán acceder a los escritorios.

Fecha de inicio: 18/07/2020 13:20 hs

Impacto: Alta

Negocio: todos

Tambien se puede ver el mensaje de los atacantes:

“General-Decryptor price - the price is for all PCs of your infected network”

El precio para desencriptar todas las PCs de tu red infectada es 109,345 XMR equivalente a 7.5 Millones USD, advierten que tienen 02 días y si no realizas el pago el precio se duplicará a 15 Millones USD (218,690 XMR) la fecha final será el 21 de Julio a las 20:23:48

Por otro lado, en la cuenta El Periodista publicó archivos de una PC infectada mediante el siguiente twit a las 8:43 pm del sabado 18 de Julio es importante señalar que esta información no esta validada, por ello tomarlo como referencia, fijarse la fecha y hora de modificación de los archivos: 18/07/2020 01:30 p.m. Extensión: 24ez94g4.

Aparentemente el ransomware habría llegado por correo electrónico en un archivo adjunto a una PC de los agentes, a continuación el archivo Readme.txt que por lo general este archivo es dejado por los atacantes del Ransomware, esta información fue recolectada de la página del periodista.com.ar

De acuerdo a Incibe-cert, el ransomware Sodinokibi tendrías los siguientes métodos de infección:

  • El envío de correos maliciosos, mediante campañas de spam.
  • La publicidad maliciosa o malvertising, es decir código malicioso presente en los anuncios que aparecen durante la navegación web, tanto para ser ejecutado directamente en el equipo, como para redirigir a servidores donde se descargan otros ejecutables.
  • Ataques de fuerza bruta sobre el protocolo Remote Desktop Protocol (RDP), y la vulnerabilidad CVE-2020–0609
  • Explotación de vulnerabilidad en Oracle CVE-2019–2725 que afecta el componente Oracle WebLogic Server de Oracle Fusion Middlewaresistemas Oracle (parche disponible desde el 26 de abril de 2019).

Adicionalmente a ello, sumo:

  • Vulnerabilidad que afecta sistemas Citrix CVE-2019–19781
  • Vulnerabilidad que afecta Pulse Secure VPN servers CVE-2019–11510 y CVE-2019–11539
  • Vulnerabilidad en productos Microsoftque utilizan los atacantes para Escalamiento de Privilegios CVE-2018–8453, sistemas afectados: Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10 y Windows 10 Servers.

Cómo funciona el Ransomware Sodinokibi:

Para intentar comprender el funcionamiento de este ransomware me he basado en la documentación de INCIBE:

El archivo ejecutable empaqueta todas las cadenas de texto, nombres de librerías y archivos DLL mediante el algoritmo criptográfico RC4, utilizando diferentes técnicas de evación, escalamiento de privilegios con el exploit CVE-2018–8453:

Fuente Principal: https://www.incibe-cert.es/blog/sodinokibi-caracteristicas-y-funcionamiento

Haciendo un breve análisis:

  1. Correo elelectrónico: Observo que han estado usando Office 365 y One Drive, aqui los atacante estan apelando a Ingenieria Social para enviar correos dirigidos con mensajes de contenido cercano a la empresa para que cualquier empleado pueda caer en la trampa.
  2. Servicios Expuestos: Al ser una empresa muy grande la cantidad de servicios expuestos son bastantes, pero por el tipo de ransomware la idea es investigar las versiones y la cantidad de equipos: VPN Acceso Remoto, RDP, Citrix, etc.

Vulnerabilidades Identificadas:

Vamos hacer un breve resumen de las posibles vulnerabilidades usadas para este tipo de ransomware REvil, por ello describiremos vulnerabilidades relacionadas a:

RDP:

CVE-2020–0609 | Windows Remote Desktop Gateway (RD Gateway) Remote Code Execution Vulnerability
Security Vulnerability
Published: 01/14/2020 | Last Updated : 01/16/2020

Existe una vulnerabilidad de ejecución remota de código en Windows Remote Desktop Gateway (RD Gateway) cuando un atacante no autenticado se conecta al sistema de destino mediante RDP y envía solicitudes especialmente diseñadas. Esta vulnerabilidad es la autenticación previa y no requiere la interacción del usuario.

Security Updates: A continuación mostramos los updates que recomienda Microsoft:

Mitigaciones: A la fecha Microsoft aún no ha identificado algun factor de mitigación para esta vulnerabilidad.

Revisiones: Las versiones son del mes de Enero 2020

Citrix:

CVE-2019–19781 Se ha identificado una vulnerabilidad en Citrix Application Delivery Controller (ADC) anteriormente conocido como NetScaler ADC y Citrix Gateway anteriormente conocido como NetScaler Gateway que, si se explota, podría permitir que un atacante no autenticado realice la ejecución de código arbitrario. Fecha de creación 17 Diciembre 2019, Fecha de Modificación 24 de Enero 2020.

El alcance de esta vulnerabilidad incluye Citrix ADC y Citrix Gateway Virtual Appliances (VPX) alojados en cualquiera de Citrix Hypervisor (anteriormente Xen Server), ESX, Hyper-V, KVM, Azure, AWS, GCP o en un dispositivo Citrix ADC Service Delivery Appliance (SDX).

La investigación adicional realizada por Citrix ha demostrado que este problema también afecta ciertas implementaciones de Citrix SD-WAN, específicamente la edición Citrix SD-WAN WANOP. La edición Citrix SD-WAN WANOP empaqueta Citrix ADC como un balanceador de carga, lo que resulta en el estado afectado.

Ejecución de exploits que aprovechan esta vulnerabilidad en applianes no actualizados se han observado en Internet. Citrix recomienda encarecidamente a los clientes afectados que actualicen de inmediato.

Adicionalmente el 22 de Enero FireEye y Citrix publican una herramienta que permite identificar si tu appliance esta comprometido con la vulnerabilidad CVE-2019–19781:

https://www.fireeye.com/blog/products-and-services/2020/01/fireeye-and-citrix-tool-scans-for-iocs-related-to-vulnerability.html

La herramienta tambien lo puedes descargar de :

https://github.com/fireeye/ioc-scanner-CVE-2019-19781/blob/master/README.md

Desde tu appliance Citrix puedes descargarlo y podra identificar en los siguientes archivos si tu appliance ha sido vulnerado:

This scanner can identify:

Para ejecutarlo:

Esta herramienta esta diseñada para las siguientes productos de Citrix:

  • Citrix ADC and Citrix Gateway version 13.0
  • Citrix ADC and Citrix Gateway version 12.1
  • Citrix ADC and Citrix Gateway version 12.0
  • Citrix ADC and Citrix Gateway version 11.1
  • Citrix ADC and Citrix Gateway version 10.5
  • Citrix SD-WAN WANOP software and appliance models 4000, 4100, 5000, and 5100

Exploits:

Para los productos Citrix haciendo una rápida busqueda encontramos los siguientes exploits disponibles para los diferentes productos de Citrix respecto al año 2019 y 2020 en la página de Exploti-db:

Revisando los exploits publicados en el año 2020 encontramos un Remote Code Execution (Metasploit):

https://www.exploit-db.com/exploits/47913

Citrix Application Delivery Controller and Gateway 10.5 — Remote Code Execution (Metasploit):

El siguiente exploit 47913 ha sido desarrollado por el Autor mekhalleh:

'Author' => [
        'RAMELLA Sébastien' # https://www.pirates.re/

Oracle web Logic

La vulnerabilidad relacionada es la CVE-2019–2725 es una vulnerabilidad de deserialización en Oracle Web Logic Server, implica ejecución remota de código y se puede explotar de forma remota sin autenticación, es decir, puede explotarse en una red sin la necesidad de un nombre de usuario y contraseña.

Versiones Vulnerables:

  • Oracle WebLogic Server, versión: 10.3.6.0
  • Oracle WebLogic Server, versión: 12.1.3.0

IOCs (Indicators of Compromises):

Según @SeguInfo, Post del 21 de Julio

Actualizado a última hora lo que se sabe del ataque de #ransomware #Revil #Sodinokibi de #Telecom y los IOCs involucrados: https://blog.segu-info.com.ar/2020/07/ataques-de-ransomware-orange-y-telecom.html

IOC’s -> http://pastebin.com/L0RqUNVL #Ransomware

dc732c1ebfd20e219236289f1815830abd704bc340e8e35966754666c1a2cd01909b520c493bd868b94e361035c425a343786cf06b935d3a01621dffd849e0fe9793e0ba85d2b0c14960b6cc506fe2aecb952795e167d504e2701b4dd399dbb62c5748124b8609d1cf71a44d77177c9a92bca21f9d9be9c487fdaf6072500f1534a813a1016a70161b66e00c628d9eddb97ecfa78e2272de2e7e86f8c981a9e96f2432e4ac98575aa653094123b478bf6c3aa9b00aaad84dfd09045a96d6b970

firstpaymentservices.com
krcove-zily.eu
www.beaconhealthsystem.org
mardenherefordshire-pc.gov.uk
beaconhealthsystem.org
extraordinaryoutdoors.com
acomprarseguidores.com
leda-ukraine.com.ua
naturavetal.hr
stopilhan.com
www.naturavetal.hr
corelifenutrition.com
softsproductkey.com

144.202.62.148
109.74.144.58
172.67.144.41
23.20.239.12
104.20.208.67
78.46.2.139
142.93.110.250
104.31.65.194
157.230.111.207
144.76.156.118

############################################

0fa207940ea53e2b54a2b769d8ab033a6b2c5e08c78bf4d7dade79849960b54d
34dffdb04ca07b014cdaee857690f86e490050335291ccc84c94994fa91e0160
74bc2f9a81ad2cc609b7730dbabb146506f58244e5e655cbb42044913384a6ac
95ac3903127b74f8e4d73d987f5e3736f5bdd909ba756260e187b6bf53fb1a05
fa2bccdb9db2583c2f9ff6a536e824f4311c9a8a9842505a0323f027b8b51451
8ed5327cf869893d6099df145c49aec08c86faa6
8e14c8062d9fada0f23d1be3cd1ae24437aef093
083d35fbe692805d4ca1292debde192291b1b72f
d2ac2ae0b4674876b2daff8defe96007558f239d
2e1521865bd4b39aa72011e859406177d7f7b09e

http://188.166.74.218/office.exe
http://188.166.74.218/radm.exe
http://188.166.74.218/untitled.exe
http://45.55.211.79/.cache/untitled.exe

188.166.74.218
45.55.211.79
5.101.0.202
23.81.143.21
102.129.224.148
130.61.54.136

Revisando algunos de los IOCs:

0fa207940ea53e2b54a2b769d8ab033a6b2c5e08c78bf4d7dade79849960b54d

File: sodinokibi.exe

Tamaño: 290.00 KB

https://www.virustotal.com/gui/file/0fa207940ea53e2b54a2b769d8ab033a6b2c5e08c78bf4d7dade79849960b54d/detection

Desde Cisco Talos:

Acciones en el File System y Acciones en el Registry:

Comandos shells, arbol de procesos y mecanismos de sincronización:

Mutexex Abiertos y Módulos cargados (lista completa mejor verlo en el link de ejecución)

34dffdb04ca07b014cdaee857690f86e490050335291ccc84c94994fa91e0160

https://www.virustotal.com/gui/file/34dffdb04ca07b014cdaee857690f86e490050335291ccc84c94994fa91e0160/details

File: sodinokibi.exe

Tamaño: 292.34 KB

Acciones en el File System y Acciones en el Registry:

Registry Keys Set, comandos shells y arbol de procesos:

74bc2f9a81ad2cc609b7730dbabb146506f58244e5e655cbb42044913384a6ac

File: Msvc

Tamaño: 667.50 KB

Names: Msvc

  • myfile.exe
  • radm.exe
  • Sodinokibi Ransomware (3).exe

https://www.virustotal.com/gui/file/74bc2f9a81ad2cc609b7730dbabb146506f58244e5e655cbb42044913384a6ac/detection

Relaciones:

Tráfico de Comunicación:

IP Traffic

  • 239.255.255.250:1900 (UDP)

Acciones en el Sistema de Archivo:

Archivos borrados y copiados:

Acciones en el Registry: Opened, Deleted, Creación de Procesos, Comandos Shells:

Update de Revil IOCs al 30 de Agosto:

#REvil SHA256:

1363b70d46c3af4d0794ecf650e3f50ceb3f81302e6059e42d94838e9ada1111 C2:

101gowrie.com,
123vrachi.ru,
12starhd.online,
1kbk.com.ua,
1team.es,
2ekeus.nl,
321play.com.hk,
35–40konkatsu.net,
365questions.org,
4net.guru,
4youbeautysalon.com,
8449nohate.org,
DupontSellsHomes.com,
aakritpatel.com,
aarvorg.com,
abitur-undwieweiter.de,
abl1.net,
abogadoengijon.es,
abogados-en-alicante.es,
abogadosaccidentetraficosevilla.es,
abogadosadomicilio.es,
abuelos.com,
accountancywi

1363b70d46c3af4d0794ecf650e3f50ceb3f81302e6059e42d94838e9ada1111 C2:

IOC: BgACA4cX.exe https://www.virustotal.com/gui/file/1363b70d46c3af4d0794ecf650e3f50ceb3f81302e6059e42d94838e9ada1111/detection

Recomendaciones Generales:

  1. Backup, Backup, Backup -> Restore, Restore, Restore. Se recomienda implementar un proceso para realizar el Backup y el Restore diario/semanal dependiendo del Negocio de la Empresa para determinar el tiempo de restauración y la calidad de los datos. Adicionalmene se recomienda que el Backup no se conecte a la red, ya que en general los ransomware buscan archivos de tipo: .bkp, backup entre otros tipo de archivos para cifrarlos también.
  2. Concientizar a los usuarios sobre el uso del correo electrónico en no abrir enlaces dentro del cuerpo del correo electrónico, no abrir archivos adjuntos de tipo: doc, xls, pdf, zip. Implementar campañas de concientización por ejemplo la de INCIBE (Kit Concienciación)
  3. Afinar el nivel de protección Antimalware del servicio de AntiSpam de la Empresa, sobre todo en el análisis y bloqueo de contenido malicioso en archivos adjuntos, enlaces dentro del correo electrónico e implementación de autenticación de correos entrantes.
  4. Revisar todos los servicios expuestos a Internet. De ninguna manera publicar servicios vulnerables de tipo Terminal Server RDP como CVE-2020–0609, Citrix como CVE-2019–19781, etc; son frecuentes vectores de infección. A veces por error o desconocimiento publican servicios de tipo SQL Server, SMB, LDAP que no se recomienda publicar a todo Internet en todo caso se debe publicar con una regla especifica o usar la funcionalidade de geolocalización.
  5. Protección en la navegación en contra de páginas y aplicaciones con contenido malicioso, Torrents de música, videos, contenido adulto donde frecuentemente contienen malware.
  6. Conexión de dispositivos de almacenamiento removibles infectados a la red. Ahora por la pandemia esta opción es menos frecuente sin embargo los empleados están realizando Teletrabajo y si desde su PC/Laptop de casa conectan un USB infectado o navegan a una página web con contenido malicioso esta podría ser el punto de inicio propagándose por el túnel VPN hacia la red corporativa.
  7. Actualizar el Sistema Operativo tanto de los Servidores y Estaciones, de las estaciones de trabajo de manera automática utilizando las funcionalida de Windows Update y para los Servidores implementar un procedimiento de actualización manual para validar el funcionamiento de los servicios.
  8. Actualizar el Antivirus de Servidor y PC bajo una configuración automática de tal manera que siempre permita estar actualizado frente a nuevos tipos de malware.
  9. Implementar “Segmentación de la Red y Control de Acceso”, procurar no mezclar servicios críticos a la red con estaciones de usuarios y que esto genere puntos de acceso innecesarios y vulnerabilidades que permita realizar por ejemplo Movimiento Laterales y/o expansión del ransomware.
  10. Realizar “Hardening de Servidores”, donde se debe quitar servicios innecesarios, no ejecutar servicios con altos privilegios como “administrador/root”, desabilitar servicios como “PowerShell”, habilita el logging y monitoring.
  11. Implementar “2FA Doble Factor de Autenticación” sobre todos para los Administradores del Dominio, Servidores que tengan datos críticos de la empresa esto podría mitigar un ataque lateral y escalamiento de privilegios, si es posible que la organización implemente 2FA para acceder a los recursos de la red sería ideal.

Desabilitar Powershell usango GPO Global Policy:

Ingresar a Management Console, el procedimiento original ha sido revisado en el siguiente link:

Editas las configuraciones del GPO -> User Configuration -> Policies -> Windows Settings -> Security Settings -> Software Restriction Policies:

Añades una regla: “New Path Rule”:

En Path le damos la ruta del ejecutable que frecuentemente es: C:\Windows\System32\WindowsPowerShell\v1.0 y luego en Security level: “Disable”

Finalmente debes rebootear el computador para que la política tome efecto, luego si intentan ejecutar power shell, saldria el siguiente mensaje:

Recomendaciones Durante el ciberataque:

Tomaré como referencia lo que la empresa ha indicado en su primera comunicación para sus empleados:

1.- Minimizar al máximo los accesos a la red corporativa: No usar el acceso remoto como RDP, Citrix sobre todo si estas usando una versión vulnerable!!!.

2.- No utilizar los accesos de VPN: Minimizar el acceso remoto por que si la maquina de casa esta infectada podría propagar el malware a le red corporativa desde tu casas.

3.- No abrir mails que contengan archivos adjuntos: El correo electróonico principal fuente de distribución del Ransomware.

4.- No abrir mails de destinatarios desconocidos: El correo electrónico principal fuente de distribución del Ransomware.

5.- No abrir ni ejecutar archivos desconocidos: Ya que algunos malware se podrían camuflar en popups, mensajes de actualizaciones de S.O, Navegador, etc.

6.- En el caso de que la PC/Notebook se vea infectada, apagarla: Para que la máquina infectada no siga propagando el malware dentro de la red de la casa del trabajador y sí esta haciendo un túnel VPN hacia la empresa empezará a propagarse hacia la red corporativa desde tu casa.

7.- Informaremos los canales de comunicación para cualquier usuario que se vea afectado:

Clave tener un canal oficial dentro de la empresa donde reportar un incidente: Contacto: Correo, Teléfono, Whastapp, 24x7 y que este se ha reportado a través de Service Desk para que este registrado.

Fuentes:

Fuente 1: Diario La Nacion, 19 de Julio:

https://www.lanacion.com.ar/tecnologia/reportan-ataque-ransomware-telecom-piden-us75-millones-nid2399977

Fuente 2: El Periodista, 18 de Julio:

https://www.elperiodista.com.ar/2020/07/ciberataque-al-grupo-telecom-millones.html

Fuente 3: Segu-info, 18 de Julio:

https://blog.segu-info.com.ar/2020/07/ataques-de-ransomware-orange-y-telecom.html

Fuente 4: Ransomware Sodinokibi, https://malware.wikia.org/wiki/Sodinokibi

Fuente 5: Alex Krüger @krugermacro , 18 de Julio

https://twitter.com/krugermacro/status/1284642410258214914

Fuente 6: GuyWithAMask @GuyWithAMask4, 18 de Julio

Fuente 7: Vulnerabilidad Citrix CVE-2019–19781

Fuente 8: IOC Scanner tool Citrix CVE-2019–19781

Fuente 9: Citrix Application Delivery Controller and Gateway 10.5 — Remote Code Execution (Metasploit) exploit-db.com/exploits/47913

Fuente 10: Deep Dive in to Citrix ADC Remote Code Execution, CVE-2019–19781

Fuente 11: RDP Vulnerabilidad CVE-2020–0609 | Windows Remote Desktop Gateway (RD Gateway) Remote Code Execution Vulnerability

Fuente 12: IOC’s REvil / Argentina

Fuente 13: Instituto de Ciberseguridad España, Kit de Concienciación

Fuente 14: Desarrollo de Kit de Concienciación, publicación en blog.

Fuente 15: Desabilitar Power Shell utilizando un GPO Global Policy

Fuente 16: Ransomware Sodinokibi por Incibe-CERT

Fuente 17: Vulnerabilidad que afecta a sistemas Oracle Oracle Security Alert Advisory — CVE-2019–2725

Fuente 18: Vulnerabilidad que afecta a sistemas Pulse VPN Servers CVE-2019–11510 y CVE-2019–11539

Fuente 19: Critical Pulse Secure VPN vulnerability — CVE-2019–11510, Bad Packets: We notified Travelex about their vulnerable Pulse Secure VPN servers on September 13, 2019.

Fuene 20: Vulnerabilidad en productos Microsoftque utilizan los atacantes para Escalamiento de Privilegios CVE-2018–8453

Ransomware Attack
Telecom
Microsoft
Sodinokibi
Revil

--

--

Cesar Farro

Written by Cesar Farro

220 Followers

Blog de #ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas y Personas

More from Cesar Farro

See all from Cesar Farro

Recommended from Medium

Lists

A series of icons from the John Lewis icon library
An aerial view of a desktop, with digital devices, a command key, and paperclips
A scattering of pixels on a grid

Icon Design

30 stories94 saves

Tech & Tools

15 stories47 saves

Productivity

230 stories112 saves
A search field with results below. In the background are book covers.

Now in AI: Handpicked by Better Programming

266 stories154 saves
See more recommendations

Help

Status

Writers

Blog

Careers

Privacy

Terms

About

Text to speech

Teams