BANCO ESTADO: RANSOMWARE SODINOKIBI SERÍA EL RESPONSABLE DEL CIERRE DE SUCURSALES Y CSIRT DEL GOBIERNO MANTIENE “ALERTA CIBERNÉTICA ALTA”
Santiago, 07 de septiembre de 2020 – El Banco Estado ha declarado durante el fin de semana un incidente de ciberseguridad, el cual ha significado que durante este lunes la institución informara a través de un comunicado de prensa que las sucursales no estarán operativas y permanecerán cerradas durante la jornada.
Por su parte el Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRTGOB, realizó un análisis a partir de múltiples fuentes del Ransomware Sodinokibi, uno de los “vectores de ataques” que está circulando a nivel nacional. No descartando que este software pueda estar involucrado en el ataque dirigido al Banco.
Sodinokibi, es un programa distribuido con un modelo de negocio Ransomware-as-a-Service, detectado por primera vez en una campaña en el 2019. El malware intenta obtener privilegios explotando algunas vulnerabilidades, después de esta etapa el malware recopila datos básicos del sistema y del usuario, para luego generar el cifrado de datos.
Algunos métodos de propagación son a través de campañas de phishing que contengan archivos adjuntos maliciosos, tratando de engañar a los usuarios para que abran los archivos adjuntos. Estos archivos suelen ser documentos Microsoft Office, archivos como ZIP, RAR, JavaScript, ficheros PDF, ejecutables (.exe), entre otros. Una vez abiertos, descargan otros tipos de malware tipo troyano para propagarse por la red atacada y generar infecciones en cadena.
Los investigadores de Symantec han detectado campañas de ransomware Sodinokibi dirigidas a buscar software de tarjetas de créditos o puntos de venta (PoS). Además han informado que utilizan el malware básico de Cobal Strike para dirigirlo a las víctimas. Otro punto importante que utilizan herramientas legítimas para ingresar a los sistemas como sistema de control remoto, aprovechando la infraestructura de servicios como cloudfront, Amazon, Pastebin para alojar cargas útiles y para crear la infraestructura de C&C, utilizan infraestructura legitima para no ser detectado y el tráfico no sea marcado sospechoso y ser bloqueado.
Microsoft ha observado ataques de fuerza bruta en servidores de escritorio remoto (RDP) y dispositivos de red vulnerables. Luego de la intrusión inicial es seguida por el uso de herramientas básicas para el robo de credenciales y generar los movimientos laterales antes de inyectar la carga útil del ransomware.
Otras investigaciones han detectado que no necesariamente requiere conectarse a C&C para intercambiar las claves de cifrado si no utiliza algoritmo de programación de claves asimétricas, permitiendo que funcione sin ninguna conexión de red. Los datos del sistema y del usuario son transmitidos a varios dominios web legítimos.
Por su parte, el BancoEstado indicó en su comunicado que “no ha existido afectación alguna a los fondos” de los clientes ni al patrimonio de la institución financiera
CSIRT mantiene el Nivel Alto de seguridad que se activó durante este fin de semana, lo que implica que existe una amenaza que, de llegar a afectar al Estado, podría tener un impacto significativo. En consecuencia, se advierte a toda la comunidad y entidades asociadas, que CSIRT activará controles de reforzamiento remoto para monitorear y evaluar la situación.
CSIRT sugiere implementar las siguientes recomendaciones a la brevedad posible:
- Aumentar el monitoreo de tráfico no usual,
- Mantener los equipos actualizados, tanto sistemas operativos como otros software instalados.
- No abrir documentos de fuentes desconocidas.
- Tener precaución en abrir documentos y seleccionar enlaces de correos electrónicos.
- Verificar y controlar los servicios de escritorio remoto (RDP).
- Bloqueo de script o servicios remotos no permitidos en la instrucción.
- Monitorear servicios SMB de forma horizontal en la red
- Mantener actualizados las protecciones perimetrales de las instituciones
- Aumentar los niveles de protección en los equipos que cumplan las funciones de AntiSpam, WebFilter y Antivirus.
- Verificar el funcionamiento, y si no es necesario, bloquear las herramientas como PsExec y Powershell.
- Mantener especial atención sobre el tráfico sospechoso que tengan conexiones a los puertos 135TCP/UDP y 445TCP/UDP
- Verificar periódicamente los indicadores de compromisos entregados por CSIRT en los informes 2CMV20.
- Segmentar las redes en base a las necesidades de sus activos, permitiendo solamente los puertos necesarios.
https://www.trendtic.cl/2020/09/ban...el-gobierno-mantiene-alerta-cibernetica-alta/
www.cybereason.com
