Hemos incluido algunos indicadores de compromiso del ataque de Ramsonware a Everis. Todavía no existe evidencia clara que se haya usado el ransomware Ryuk, pero hay teorias que lo avalan así. Se presume que sea Ryuk el malware usado, ya que éste recibió una actualización hace 3 días dándole capacidades adicionales como como distribuirse así mismo por una red LAN, así los equipos estén apagados.
Indicadores de compromiso identificados (IoC)
¿Qué información tenemos hasta el momento?
Hay mucha información cruzada, en el caso de Everis, los archivos se cifran con la extension «.3v3r1s» haciendo alusión a la empresa, lo que denota que el ataque fue dirigido. Respecto a Prisa y otros no tenemos información, no se conoce la familia de ransomware usada, pero se informa que los atacantes demanda el pago de aprox. USD 835,000.
Lo que si es cierto, es las alertas sobre dos vulnerabilidades criticas de Microsoft y Google Chrome que pueden dar capacidades de gusano y acceso total al sistema respectivamente:
Viernes 1 de noviembre, se conoce la noticia que dos vulnerabilidades día cero (0) en Chrome que afectan componentes de audio (CVE-2019-13720) mientras que la otra reside en la librería de PDFium (CVE-2019-13721). Ambas vulnerabilidades están siendo ampliamente explotadas en la red. Aun no hay detalles tecnicos sobre las vulnerabilidades, sin embargo, Google indica que son del tipo use-after-free es una clase corrupción de memoria que permite modificar datos en memoria, habilitando el escalamiento de privilegios sobre el equipo o software afectado.Ya existe la versión de Chrome 78.0.3904.87, que corrige estas vulnerabilidades, ¡parchear de inmediato!
Domingo 3 de noviembre, se conocen noticias sobre un ciberataque que se cree ser el primero en explotar la vulnerabilidad RDP BlueKeep para minería de Criptomonedas. BlueKeep, está documentada como CVE-2019-0708, y le da a cualquier malware capacidades de gusano (permite la expansión masiva del malware).
Es probable que se estén explotando estas vulnerabilidades en los casos de Everis y Prisa, pero aun no lo sabemos seguimos haciendo seguimiento de este caso para informar.
Recomendaciones:
- Aplicar los indicadores de Compromisos (IoC) suministrados en este artículo.
- Aplicar los parches para BlueKeep y Google Chrome de inmediato
- Si no se puede aplicar el parche por alguna razon:
- Deshabilite RDP en los servicios que no lo requiera
- Bloquee el puerto 3389, en el firewall o ue solo sea accesible via VPN.
- Habilite autenticación a nivel de Red (NLA)
- No descargar archivos de fuentes no confiables ni de emisores desconocidos.
- Tener strong passwords y si es posible, habilitar la autenticación en dos pasos 2FA.
- Solo dar privilegios de administrador a los usuarios que realmente los necesiten.
- Realizar respaldos de manera regular y mantenerlos fuera de sitio para que los atacantes no logren encontrarlos.
- Instalar los parches de seguridad tan pronto sea posible.
Fuente:
https://www.Thehackernews.com
https://news.sophos.com/en-us/2019/10/04/rolling-back-ryuk-ransomware/
https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/
https://support.cylance.com/s/feed/0D54400006T2V4tCAF
En ADV Integradores y consultores estamos a su disposición para apoyarlos con la estrategia de ciberseguridad que permita hacer frente a las amenazas avanzada, que es y será el principal reto a resolver por todos los que tenemos como responsabilidad mejorar la postura de seguridad de las organizaciones.
Jesús Dubront, CISM
Director
ADV Integradores y consultores
jesus.dubront@adv-ic.com | @jdubront | www.adv-ic.com | @adv_ic | Linkedin: ADV Integradores y consultores | Facebook:ADV Integradores y consultores
Blog Ciberseguridad ADV integradores y consultores 