ALERTA DE SEGURIDAD CIBERNÉTICA: INCIDENTE EN SERVICIO PÚBLICO

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno, informa sobre un incidente en progreso que afecta a un servicio del gobierno, durante la jornada del jueves 25 de agosto, el cual ha interrumpido el funcionamiento de sus sistemas y servicios en línea.

La naturaleza del incidente corresponde a un ransomware que afectó servidores Microsoft y VMware ESXi en redes corporativas de la institución.

El ransomware en cuestión tiene la capacidad de detener todas las máquinas virtuales en ejecución y cifrar archivos relacionados con las máquinas virtuales.

Como resultado de la infección, los archivos asumen la extensión “.crypt”. Posteriormente, el atacante toma control completo del sistema de la víctima y deja un mensaje de rescate informando la cantidad de datos secuestrados, ofreciendo un canal de comunicación y un ID específico para contactarse con ellos. El atacante da un plazo de tres días para comunicarse, de lo contrario amenaza con impedir que los datos sean accesibles para la organización y poner estos activos a la venta a terceros en la darkweb.

El ransomware utilizaría el algoritmo de cifrado de clave pública NTRUEncrypt, dirigido a archivos de registro (.log), archivos ejecutables (.exe), archivos de bibliotecas dinámicas (.dll), archivos de intercambio (.vswp), discos virtuales (.vmdk), archivos de instantáneas (.vmsn) y archivos de memoria (.vmem) de máquinas virtuales, entre otros.

En el presente documento, compartimos algunos Indicadores de Compromiso y características del malware que hemos logrado observar, relacionados con este incidente.

Así, el programa malicioso que ha realizado el ransomware cuenta también con características de infostealer:

• Roba credenciales desde los navegadores
• Enumera dispositivos de extracción como HDD y pendrives
• Posee capacidades de evasión de antivirus con timeout.

Cambio de los nombres de los archivos al encriptar:

C:\Users\Admin\Pictures\DebugSelect.raw => C:\Users\Admin\Pictures\DebugSelect.raw.crypt

IoC de archivos

0t8I7t8q8.exe

SHA256; 39b74b2fb057e8c78a2ba6639cf3d58ae91685e6ac13b57b70d2afb158cf742d

6c1W1w0p9.bat

SHA256; ac73234d1005ed33e94653ec35843ddc042130743eb6521bfd3c32578e926004

lock.exe

SHA256: c42834ac1c8efc19c44024f1e4960c5a9aaab05dc9fceb0d1596ffe0c244f5f2

Tácticas empleadas según la clasificación de Mitre ATT&CK

El CSIRT de Gobierno quiere alertar a la comunidad del Estado y entidades en convenio de colaboración para que pongan especial atención sobre esta amenaza y para que sigan, al menos, las siguientes recomendaciones:

• Asegurar que todos los componentes de sus sistemas (PC y servidores) estén protegidos por programas antivirus, antimalware y firewall con sus licencias vigentes.
• Revisar que sus activos de VMware y Microsoft se encuentren actualizados y protegidos.
• Chequear periódicamente que todo su software esté actualizado.
• Contar con respaldos para sus datos y procesos más importantes, los que deben estar separados (en el mejor de los casos, incluso físicamente) de los activos que respaldan y protegidos adecuadamente con firewalls y protocolos de seguridad.
• Reforzar la concientización de los funcionarios sobre la importancia de desconfiar de los correos electrónicos que reciben, especialmente si incluyen archivos adjuntos, y que informen a los encargados de ciberseguridad si alguien recibe un correo sospechoso.
• Verificar y fortalecer las configuraciones de sus servicios antispam, ya que los correos electrónicos son la principal vía de acceso de programas maliciosos.
• Implementar la segmentación de la red y controlar los privilegios de los usuarios para ajustarse a sus requerimientos.
• Recordar que de enfrentarse a un incidente de ciberseguridad deben informar al CSIRT de Gobierno.
• Revisar periódicamente las alertas que publica el CSIRT de Gobierno sobre las nuevas campañas de phishing y malware que detectamos: https://www.csirt.gob.cl/alertas/
• Informarse todos los días de nuevas vulnerabilidades de importancia en programas de uso frecuente en nuestro país en https://www.csirt.gob.cl/vulnerabilidades/
• Destacamos, finalmente, que tenemos disponible material de concientización gratuito en https://www.csirt.gob.cl/recomendaciones/