Se han conocido taques
contra entidades financieras peruanas, ataques que han tenido como objetivo
principal la instalación del ransomware SamSam (también conocido como Samsa o
Samas)
SamSam no es más que
la herramienta principal de un ataque dirigido a entidades concretas. No es un
malware de distribución masiva, sino que es ejecutado de forma manual dentro de
la red de la organización víctima. Para ello, el atacante necesita encontrar
previamente una forma de acceder a la red. Las primeras versiones del ataque
usaban exploits conocidos contra servicios de la organización expuestos a
Internet, pero las últimas versiones han optado por atacar usando fuerza bruta
(probando contraseñas una tras otra) contra un servicio en concreto: el
servicio RDP (Remote Desktop Protocol), usado para permitir el acceso remoto a
otro ordenador compartiendo la pantalla.
Características principales del ransomware
Una característica
del malware que impide su análisis en profundidad es que su parte principal
viene cifrada con una clave que sólo conoce el atacante. Evidentemente, para su
ejecución es necesario descifrarla, pero lo hace el atacante proporcionando la
contraseña al ejecutarlo manualmente. Por tanto, para poder analizar el malware
en profundidad, sería necesario pillar al atacante in fraganti y capturar la
contraseña, ya que apenas se ejecuta el malware se borra la contraseña usada para
descifrarlo.
El resto de partes
son piezas de apoyo que ayudan a descifrar y lanzar el malware de forma
automática. Adicionalmente, el ataque hace uso de diversas herramientas de
apoyo, entre otras una herramienta de administración remota (RAT) con capacidad
para realizar cualquier acción en el sistema y herramientas públicas de
terceros para realizar el reconocimiento de la red y moverse lateralmente en
ésta (es decir, saltar de un punto de la red a otro). De nuevo, recordamos que
estamos ante un ataque dirigido, donde un atacante entra en la red por algún
medio externo al ransomware, y una vez dentro, reconoce y ataca manualmente
otros puntos de la red, para finalmente ejecutar el ransomware en los puntos de
la red que considere dignos de secuestrar.
Flujo del ataque
A continuación se
describe las fases del ataque que tienen como objetivo final la ejecución del
ransomware SamSam. Se presupone que la entidad ya ha sido seleccionada por el
atacante. Para ello, puede haber sido elegida manualmente por su importancia y
valor, o bien haber sido elegida tras buscar organizaciones con redes con una
seguridad débil. Para esto último, los atacantes se suelen valer de
herramientas como el buscador Shodan, que permiten buscar qué puntos de
Internet corren ciertos servicios que se conocen vulnerables, para intentar
explotarlos luego. También existen listas de servicios vulnerables previamente
confeccionadas puestas a la venta por otros criminales.
1. Intrusión en la red
Se conocen tres
métodos por los cuales el atacante accede a la red en este paso:
Ataque de fuerza
bruta sobre el servicio RDP de Windows, que corre en el puerto 3389, buscando
credenciales débiles.
Aprovechando
vulnerabilidades de servicios expuestos a Internet. En el pasado aprovecharon
vulnerabilidades en el servidor de aplicaciones JBoss.
Ingeniería social,
especialmente a través de correos adjuntos infectados. Se desconocen los
detalles de esta forma de entrada.
Una vez completado
este punto, el atacante puede ejecutar código en la máquina afectada, si bien
dependiendo de la configuración del sistema comprometido o del nivel de la
cuenta de usuario comprometida, estaríamos hablando de ejecución a nivel de
usuario sin privilegios o a nivel de administrador. Si el atacante no ha
conseguido privilegios de administrador, procede al siguiente paso:
2. Elevación de privilegios
Tras conseguir entrar
en la red con una cuenta de usuario sin privilegios, el atacante tiene que
escalar privilegios y obtener acceso como controlador de dominio. Para ello
hace uso de distintas herramientas y exploits, herramientas la mayoría de
código abierto y gratuitas, y también creadas por el mismo atacante. No se ha documentado una relación directa
entre un exploit en particular y estos ataques en esta fase. Se sabe que en
esta fase el atacante ha podido estar días, por ejemplo debido al uso de
herramientas que aprovechan la entrada de un controlador de dominio al sistema
para robarle el acceso.
3. Movimiento lateral
Con el objetivo de
afectar el número máximo de sistemas, el atacante procede a escanear la red y
comprometer los sistemas accesibles. Para ello, y con el acceso de
administrador, accede de forma normal a un servidor de la compañía, desde el
cual procede a escanear la red. Una vez seleccionados los posibles objetivos, accede
a todos los que puede y realiza una prueba para ver si efectivamente puede
acceder al sistema de archivos de ese sistema. El que esto sea realizado por
parte del atacante de forma manual permite hacer el menor ruido posible.
4. Ejecución del malware
Tras establecerse
como controlador de dominio desde un servidor de la compañía, el atacante
procede a instalar y ejecutar el ransomware SamSam en los objetivos
disponibles. Para ello, usa principalmente una herramienta legal llamada
PsExec. La ejecución del malware se realiza de una forma atípica: se
proporciona una contraseña como parámetro de línea de comandos al ejecutable
del ransomware en el momento de ejecución. Esta contraseña se usa para
descifrar el malware, que viene cifrado. De esta forma, el atacante mantiene en
secreto el funcionamiento concreto del malware, ya que en un análisis post
mortem del sistema víctima no se encuentra el código que ha provocado el
desastre.
5. Espera del pago y soporte técnico
Tras infectar todos
los sistemas objetivo de una forma coordinada (con segundos de diferencia entre
ellos), al atacante sólo le queda limpiar todos los rastros que pueda y esperar
a que la víctima pague. Tras completarse la ejecución del ransomware, como en
casi todos los casos, el malware deja una nota de rescate. En ésta se
especifica la cantidad de Bitcoins a pagar para obtener la contraseña de
descifrado (con precios en dólares actualmente de unos 500 dólares por máquina
y 4.000 por todas) y la dirección a la que realizar el pago. También se especifica
una dirección de una web contenida en la red Tor (una red pública y gratuita
que mantiene el anonimato de los usuarios, pero que requiere la instalación de
software adicional para navegar por ella). En esa dirección se encuentra una
forma de contactar con el atacante e incluso poder descifrar algunos archivos
gratuitamente. Como el acceso a la red Tor no es conocido para la mayoría de
los usuarios, el atacante incluye instrucciones accesibles para poder acceder a
ella.
Precisamente uno de
los puntos más llamativos de este ransomware es la calidad del "soporte
técnico" que se ofrece por parte del atacante para solucionar problemas
relacionados con el pago y el descifrado de los archivos, llegando hasta el
punto de enviarse una decena de mensajes por parte del atacante para solucionar
un problema particular de un usuario que ya había pagado. O disculparse por la
tardanza al responder a un mensaje de un usuario. También es reseñable que el
atacante parece haber proporcionado la clave de descifrado a todas las víctimas
que han pagado, si bien desde Hispasec recomendamos nunca pagar el rescate, ya
que contribuiríamos a alimentar este tipo de fraude.
Soluciones y
contramedidas
Este malware tiene un
sistema de cifrado para el que no se han documentado fallos. Por tanto, en este
momento no hay solución más allá de pagar el rescate. Ahora pasamos a
diferenciar entre la infección por ransomware y la intrusión a la red para
explicar qué medidas se deben tomar con antelación para protegerse de estas
amenazas:
Infección por ransomware
En el primer caso,
infección por ransomware, existen una serie de medidas específicas para
detectar que un malware de este tipo se encuentra ejecutándose y bloquearlo,
pero existen otras medidas más básicas y generales de protegerse. Hablamos de
las copias de seguridad y los entornos de usuario fácilmente restaurables. Las
copias de seguridad son imprescindibles para casos como éste, pero son
igualmente vitales en casos de rotura del almacenamiento principal de un
sistema y otras catástrofes. Es especialmente interesante que estas copias no
estén conectadas a red alguna, o que se encuentren en otro lugar físico.
Adicionalmente, poder
restaurar los equipos de los usuarios con un sistema de replicación de imagen
de disco duro o un sistema de virtualización distribuido son las otras medidas
que complementan a las copias de seguridad de los datos. Ambas medidas
combinadas proporcionan una excelente protección contra la amenaza de un
ransomware. Incluso en uno de los peores casos: entra un ransomware de
propagación automática e infecta los sistemas de todos los usuarios de la red
usando un exploit desconocido. Si tienes copias de seguridad diarias, habrás
perdido como mucho un día de información. Y si los entornos de tus usuarios son
fácilmente restaurables, en unas horas puedes estar funcionando de nuevo con
equipos limpios.
Intrusión en la red
Finalmente, queda
comentar contramedidas contra intrusiones en la red. En este tipo de casos,
empresas grandes con mucho que perder y redes bastante complejas, no se puede
ofrecer una serie de contramedidas generales y pensar que eso es suficiente. Es
necesario invertir en seguridad informática, tanto en personal como en equipos,
y apoyar firmemente desde dirección la implementación y respeto de la política
de seguridad diseñada por personal cualificado. En este caso en particular,
dados los tres tipos de entradas que se conoce realiza el atacante, podemos
comentar las medidas básicas de protección contra cada uno de ellos:
Credenciales débiles:
Forzar que todo método de autenticación basado en contraseña respete unos
requisitos mínimos de longitud y variedad de caracteres en la contraseña.
Servicios vulnerables
expuestos a Internet: Lo primero es exponer el mínimo número de servicios
posibles a Internet. Lo segundo es actualizar el software para protegerse al
menos de vulnerabilidades conocidas. Finalmente, aislar en la medida de lo
posible estos servicios del resto de la red interna.
Ingeniería social:
Cursos de conciención a todos los niveles de la compañía, siempre procurando
que sean prácticos y amenos. Las políticas de seguridad deben ser razonables y
no requerir un esfuerzo sobrehumano para ser respetadas, o los usuarios no las
respetarán.
Más información:
- SamSam: The (almost) $6 million ransomware https://nakedsecurity.sophos.com/2018/07/31/samsam-the-almost-6-million-ransomware/
- [PDF] SamSam: The (Almost) Six Million Dollar
Ransomware https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/SamSam-The-Almost-Six-Million-Dollar-Ransomware.pdf?cmp=26061
- SamSam ransomware: controlled distribution for an
elusive malware https://blog.malwarebytes.com/threat-analysis/2018/06/samsam-ransomware-controlled-distribution/
Fuente: Hispasec