Nuevo ransomware atacó servidores Windows y Linux de agencia gubernamental chilena
El Equipo Nacional de Respuesta a Incidentes y Seguridad Informática de Chile (CSIRT) anunció que un ataque de ransomware afectó las operaciones y los servicios en línea de una agencia gubernamental en el país.
El ataque comenzó el jueves 25 de agosto y tuvo como objetivo los servidores Microsoft y VMware ESXi operados por la agencia.
Los hackers bloquearon todas las máquinas virtuales en ejecución y cifraron sus archivos, agregando la extensión de nombre de archivo “.crypt”.
“El ransomware usó el algoritmo de cifrado de clave pública NTRUEncrypt, dirigido a archivos de registro (.log), archivos ejecutables (.exe), archivos de biblioteca dinámica (.dll), archivos de intercambio (.vswp), discos virtuales (.vmdk), instantáneas (.vmsn) y archivos de memoria de máquina virtual (.vmem), entre otros”.
CSIRT de Chile
Según el CSIRT, el malware utilizado en este ataque también tenía funciones para robar credenciales de navegadores web. Asimismo, podría listar dispositivos extraíbles para el cifrado y evadir la detección antivirus mediante tiempos de espera de ejecución.
En la típica forma de doble extorsión, los intrusos ofrecieron al CSIRT de Chile un canal de comunicación para negociar el pago de un rescate. El pago del rescate evitaría la filtración de los archivos y desbloquearía los datos cifrados.
El atacante fijó un plazo de tres días y amenazó con vender los datos robados a otros ciberdelincuentes en la dark web.
Atribución poco clara
El anuncio del CSIRT de Chile no menciona al grupo de ransomware responsable del ataque, ni proporciona detalles suficientes que permitan identificar el malware.
La extensión adjunta a los archivos cifrados no ofrece ninguna pista porque ha sido utilizada por múltiples ciberdelincuentes.
Si bien la poca información que proporcionó el CSIRT de Chile sobre el comportamiento del malware apunta al ransomware ‘RedAlert’ (también conocido como “N13V”), una operación lanzada en julio de 2022, los detalles técnicos sugieren lo contrario.
El ransomware RedAlert ha usado la extensión “.crypt” en los ataques dirigidosm tanto a los servidores de Windows como a las máquinas Linux VMWare ESXi. Este es capaz de forzar la detención de todas las máquinas virtuales en ejecución antes del cifrado y utiliza el algoritmo de cifrado de clave pública NTRUEncrypt.
Sin embargo, los indicadores de compromiso (IoC) en el anuncio del CSIRT de Chile están asociados con Conti o arrojan un resultado no concluyente cuando se alimentan a sistemas de análisis automatizados.
Ataques de Conti
Conti se ha relacionado previamente con ataques a naciones enteras, como el de Costa Rica en julio de 2022. Este ataque tardó cinco días, desde que la banda obtuvo acceso inicial hasta robar y cifrar los sistemas.
El analista de amenazas chileno Germán Fernández mencionó que la cepa parece ser completamente nueva. Además, aseguró que los investigadores con los que habló no pudieron asociar el malware con familias conocidas.
Fernández también comentó que la nota de rescate no se generó durante la infección, un detalle que pudimos confirmar. El investigador dijo que la nota se entregó antes de implementar el malware de bloqueo de archivos.
“Una cosa particular sobre el ataque es que los ciberdelincuentes distribuyeron la nota de rescate en una etapa anterior al despliegue del ransomware como el payload final. Esto fue así posiblemente por problemas de evasión o para evitar que se filtraran sus datos de contacto al compartir la muestra final.”
– Germán Fernández
BleepingComputer pudo analizar varias muestras del malware utilizado para el ataque y recuperó una nota de rescate llamada 'readme_for_unlock.txt
‘, que se muestra a continuación:
Todas las notas de rescate observadas y analizadas de este ransomware incluyen un enlace a un sitio web único en la red Tor junto con una contraseña para iniciar sesión.
Filtración de datos
Por lo que hemos visto, todavía no existe un sitio de filtración de datos para este ransomware. El sitio Tor es para mostrar un cuadro de mensaje donde las víctimas pueden contactar a los atacantes.
Acceder al canal de comunicación anterior requiere una contraseña, que se incluye en la nota de rescate.
El malware se configura para iniciarse al iniciar sesión en Windows y usa el nombre SecurityUpdate al inicio.
Por todo lo analizado y observado sobre este ransomware, podemos concluir que se trata de una nueva operación que se lanzó a principios de agosto.
Protección
La organización de ciberseguridad de Chile recomienda a todas las entidades estatales, así como a las grandes organizaciones privadas del país, aplicar las siguientes medidas:
- Asegurarse que todos los componentes de los sistemas (PCs y servidores) estén protegidos por programas antivirus, antimalware y firewall con sus licencias vigentes.
- Revisar que los activos de VMware y Microsoft se encuentren actualizados y protegidos.
- Revisar periódicamente que todo el software esté actualizado.
- Contar con respaldos para los datos y procesos más importantes, los que deben estar separados (en el mejor de los casos, incluso físicamente) de los activos que respaldan y protegidos adecuadamente con firewalls y protocolos de seguridad.
- Reforzar la concientización de los funcionarios sobre la importancia de desconfiar de los correos electrónicos que reciben, especialmente si incluyen archivos adjuntos. Asimismo, deben reportar a los encargados de ciberseguridad si alguien recibe un correo sospechoso.
- Verificar y fortalecer las configuraciones de los servicios antispam, ya que los correos electrónicos son la principal vía de acceso de programas maliciosos.
- Implementar la segmentación de la red y controlar los privilegios de los usuarios para ajustarse a sus requerimientos.
- Mantenerse informado sobre nuevas vulnerabilidades que necesitan parches o mitigación inmediata.
CSIRT de Chile ha proporcionado un conjunto de indicadores de compromiso para los archivos utilizados en el ataque que los defensores pueden usar para proteger sus organizaciones.