Noticias, Soluciones y consultoría

Análisis del ciberataque a empresas españolas del 4 de noviembre 2019

Índice del contenido

El pasado mes de noviembre de 2019 se detectaron varios incidentes de seguridad que afectan a empresas españolas. Estos incidentes están relacionados con campañas de ransomware cuyo objetivo es el cifrado de archivos y petición de rescate.

Durante el mes de noviembre varias compañías sufren un ciberataque [1] en sus sistemas informáticos por un virus de tipo Ransomware. La operativa de estas empresas se ve afectada y desde entonces desconectan sus sistemas informáticos [2] garantizando el caso de una de las empresas la continuidad de la emisión con equipos autónomos.

A primera hora de la mañana la primera empresa afectada envía un correo electrónico a todos sus empleados indicando “Estamos sufriendo un ataque masivo de virus a la red. Por favor, mantengan los PC’s apagados …”, no ofreció ningún detalle técnico.

La información que se va haciendo pública a lo largo de la jornada tanto a través de medios de comunicación, foros especializados, comunidad de seguridad y fuentes internas era bastante difusa, con rumores de que podrían estar utilizándose vulnerabilidades públicas recientes que afectan al Sistema Operativo Windows o Microsoft Teams para realizar el movimiento lateral, comienza a hablarse de un nuevo ataque tipo WannaCry, esta información está basada en rumores y posibles hipótesis.

BleepingComputer fue uno de los primeros en publicar información relacionada con el incidente, relacionan el ciberataque con el ransomware BitPaymer [3]. También comienzan a ofrecer información de coste económico, Bitcoin.es escribe sobre la suma económica a afrontar para el rescate tecnológico, Una de las empresas debería afrontar un coste de 1.5M€, y la otra afectada de 750K€.

Por otro lado, el Departamento de Seguridad Nacional (DSN) publicó [4] una noticia informando del ataque, es la primera fuente institucional que da información sobre el ciberataque.

El ransomware Ryuk está relacionado con el ciberataque dirigido a  empresas estratégicas. Ryuk se ha desplegado activamente a través de la campaña previa de Emotet.

Las plataformas de seguridad online comienzan durante el día 04-11-2019 a aportar información del malware relacionado con el ciberataque. Virustotal [5] tiene accesible el análisis de un ejecutable subido desde España relacionado con ransomware Bitpaymer desplegado en el cliente, el análisis hace referencia a ficheros con extensión “.3v3r1s”. El ransomware Bitpaymer relacionado con el ciberataque a una de las compañías está clasificado por algunas casas antivirus como Emotet.

Una vez que el malware dirigido al cliente es activado en el sistema, se ofrece un mensaje con información de contacto con dos cuentas de correo electrónico para realizar el pago por el rescate, sydney.wiley[@]protonmail[.]com y evangelina.mathews[@]tutanota[.]com.

A las 17:00 horas del día 05-11-2019, una fuente interna de una de las  compañías confirma que proceden a instalar las actualizaciones con los parches de seguridad, exclusivamente están conectados a la red interna y sin conectividad exterior.

Durante el día del ciberataque la información general que se maneja en la comunidad y los medios de comunicación es imparcial, imprecisa y basada en rumores, la información es de baja calidad y no confiable. Las hipótesis que manejamos en ERISCERT son:

  • Hay una probabilidad baja de que el malware pueda utilizar CVE-2017-0144 [6] (Eternalblue-WannaCry)
  • Hay una probabilidad baja de que el malware pueda utilizar RDP CVE-2019-0708 [7] (BlueKeep).
  • Hay una probabilidad alta de que los usuarios sean administradores del equipo.
  • El vector de entrada no es preciso, podría ser mediante correo electrónico o explotando explorador web.
  • Hay una probabilidad alta de que se trate de Emotet.

Un informe [8] de la unidad de inteligencia de una firma de seguridad española hace referencia a la explotación de la vulnerabilidad CVE-2019-0709 [9] (Hyper-V), es altamente probable que sea un error de transcripción.

Durante el día 05-11-2019, comienza a haber información precisa sobre el ciberataque.

  1. Un usuario accede a un sitio web comprometido.
  2. El sitio web comprometido presenta una falsa actualización de explorador web y el usuario descarga el fichero.
  3. El fichero es código javascript que infecta el dispositivo con malware de la familia Emotet.
  4. Una vez el atacante tiene bajo control el dispositivo infectado despliega la herramienta de post-explotación Empire.
  5. El atacante distribuye la familia de ransomware “BitPaymer/IEncrypt” a los dispositivos comprometidos.

En octubre de 2019, una de las empresas afectgadas firma [10] un acuerdo de colaboración bilateral con la agencia de comunicación de la OTAN (NCI) en materia de ciberseguridad. Este acuerdo de colaboración fue anunciado en el foro NIAC 2019 organizado por NCI en Bélgica

Crowdstrike identificó [11] una variante de Ryuk con capacidades para activar equipos remotamente (Wake of Lan – WoL), es importante anotar que no relacionaron Ryuk con la explotación de la vulnerabilidad conocida como Bluekeep.

  • Wizar Spider [12] es un actor amenaza originario de Rusia.
  • Wizar Spider está relacionado con la operación del troyano bancario
  • Wizar Spider ha sido relacionado con los actores amenaza Grim Spider[13] y Lunar Spider[14].
  • Grim Spider es un actor amenaza relacionado con la operación del ransomware Ryuk.
  • Lunar Spider está relacionado con campañas de distribución de Emotet.

IOCs relacionados con el ataque ransomware

Malware Hash SHA256
Ryuk e75622957decf1594c2cbe726ff0aaba4a509dab7b77721d3db16977f224ae4a

IOCs ciberataque

Malware Hash SHA256
BitPaymer bd327754f879ff15b48fc86c741c4f546b9bbae5c1a5ac4c095df05df696ec4f

Sistemas afectados

Cualquier versión de Microsoft Windows sin la protección antimalware adecuada.

Recomendaciones

Mantener el Sistema Operativo y el antivirus actualizado.

Disponer de copias de seguridad persistidas en sistemas aislados (sin conexión con la red).

Deshabilitar Powershell en aquellos equipos en los que no sea necesaria su ejecución [16], en caso de no poder desactivar Powershell mantener monitorización activa para mantener ejecuciones en los sistemas informáticos.

Monitorizar de forma activa el tráfico de red generado en la infraestructura tecnológica, analizando registros de actividad de dispositivos Proxy, firewalls, DNS.

Campañas de formación y concienciación a los usuarios frente a campañas de phishing/spear phising para que se mantengan en alerta ante a estos vectores de entrada.

Referencias

[1] https://www.lavanguardia.com/tecnologia/20191104/471372667264/ciberataque-ransomware-virus-seguridad-nacional-ser-.html

[2] https://cadenaser.com/ser/2019/11/04/sociedad/1572862102_968725.html

[3] https://www.cert.ssi.gouv.fr/uploads/CERTFR-2019-CTI-006-EN.pdf

[4] https://www.dsn.gob.es/es/actualidad/sala-prensa/ciberataques-ransomware-04-noviembre-2019

[5]https://www.virustotal.com/gui/file/bd327754f879ff15b48fc86c741c4f546b9bbae5c1a5ac4c095df05df696ec4f/detection

[6] https://www.cvedetails.com/cve-details.php?t=1&cve_id=CVE-2017-0144

[7] https://www.cvedetails.com/cve-details.php?t=1&cve_id=CVE-2019-0708

[8] https://www.entelgy.com/divisiones/innotec-security/innotec-security-actualidad/noticias/campana-de-ransomware-contra-organizaciones-espanolas

[9] https://www.cvedetails.com/cve-details.php?t=1&cve_id=CVE-2019-0709

[10] https://www.ncia.nato.int/NewsRoom/Pages/20191017-Three-NATO-Industry-Cyber-Partnership-agreements-signed-at-NIAS19.aspx

[11] https://www.crowdstrike.com/blog/wizard-spider-adds-new-feature-to-ryuk-ransomware/

[12] https://malpedia.caad.fkie.fraunhofer.de/actor/wizard_spider

[13] https://malpedia.caad.fkie.fraunhofer.de/actor/grim_spider

[14] https://malpedia.caad.fkie.fraunhofer.de/actor/lunar_spider

[15] https://ired.team/offensive-security/persistence/t1122-com-hijacking

[16] https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert/8730-ccn-cert-al-06-19-campana-troyano-emotet.html

Ultima actualización 6 Noviembre 5 pm

Autores:

Jesús Gálvez

Alberto Ballestín Perez

Comparte

No es sólo un blog

Noticias y avances sobre
tecnología

No data was found

Consigue el eBook

De conformidad con lo establecido en la normativa vigente en materia de protección de datos, le informamos que sus datos serán tratados por Sothis Enterprise Resource Planning, S.L.U. con el fin de atender las solicitudes que nos formule en base a la ejecución de un acuerdo. Puede ejercer sus derechos de acceso, rectificación, supresión, oposición, así como los demás que la normativa reconoce al interesado, mediante solicitud dirigida a c/ Charles Robert Darwin, 13 – Parque Tecnológico cp. 46980 Paterna (Valencia), o por correo electrónico a rgpd@sothis.tech adjuntando copia de su DNI o documentación que le identifique. Puede consultar información adicional sobre el tratamiento de datos en SOTHIS en nuestra Política de Privacidad.

¡Gracias!

Tu formulario se ha enviado correctamente-