Índice de contenidos
Introducción
Nadie negará que en los últimos años los ataques de ransomware dirigido están de moda. Del ataque automatizado que se propagaba sólo pasamos a ataques cada vez más sofisticados, dónde un operador cibercriminal se mueve durante la fase de intrusión por la red de forma manual. Dejando el ransomware tan sólo en los activos mas críticos de la compañía, dónde más daño puede hacer. En un modelo de cibercrimen cada vez más profesionalizado, el cibercriminal sigue un horario laboral incluso más estricto que el de algunas empresas. Y la última tendencia para asegurar el pago es la extorsión con el robo de información y su posterior publicación.
Una de las últimas entradas que escribía trataba sobre la llegada de Maze a España, uno de los grupos que utilizan este modo de actuar. La semana pasada el grupo de Sodinokibi hacia lo propio con Adif, a pesar de ser una infraestructura crítica para el país ha pasado por el mismo mal trago. Desde la semana pasada van publicando sus datos por entregas diarias. Pero el ataque que más ha llamado la atención por ser una empresa muy popular entre deportistas ha sido el de Garmín.
Cuando ví el ataque a Garmín, antes de leer noticias que pudieran condicionarme, enseguida me sorprendió porque era muy parecido a una investigación que hice el año pasado.
La investigación para monitorizar vícitmas de ransomware.
¿Para qué necesitamos monitorizar víctimas de ransomware?. Para responder varias preguntas que nos ayudarán a defender mejor nuestra organización.
Primero identificar el grado de beligerancia de estas últimas amenazas de ransomware a nivel global. ¿Es una campaña con una afectación muy grande o tengo las mismas probabilidades que la lotería de que me toque?. Y a continuación podemos evaluar si el perfil de estas víctimas a nivel geográfico o actividad económica es similar al de nuestro negocio. Estos indicadores nos dirán si es algo de lo que debemos preocuparnos.
Técnicas
Para ello vamos a enumerar diferentes técnicas para seguir una campaña de ransomware identificando las víctimas. Aunque no profundizaré en algunos conceptos porque nos podríamos extender demasiado.
Sinkholing
Nota: Los conceptos que no explicaré en esta técnica y que puedes buscar información son Sinkholing y DNS Pasivo.
La carrera por el sinkholing. Empresas compiten por hacerse con infraestructura atacante mediante la redirección de dominios e IPs que se saben son maliciosas. Con el fin de vender la información a las víctimas, desmantelar botnets cuando se tratan de fuerzas y cuerpos de seguridad del Estado, tomar control de la red, identificar el origen, etc. Hay muchas finalidades detrás del sinkholing. Un ejemplo muy famoso es el killswitch de WannaCry que desactivaba al malware. Cuando Marcus Hutchins registró aquel dominio consiguió toda la telemetría de las infecciones entre otras cosas.
Normalmente podremos hacer sinkholing tan sólo en nuestro ámbito empresarial, en muchos casos no tenemos capacidad para hacerlo a nivel global a no ser que trabajemos en determinados sitios.
El primer paso es detectar infraestructura previamente sinkholeada, podemos utilizar nuestra red como indicábamos anteriormente.
Ejemplo de sinkholes
A continuación una cosa que podemos hacer con esta información es buscar dominios de empresas, a través de listados de TLDs, que estén redireccionando hacia estos sinkholes.
Otra manera es buscar en servicios de DNS Pasivos, personalmente suelo utilizar RiskIQ, los dominios que han sido sinkholeados e identificar las empresas que estén en los mismos.
Dominio sinkholeado en dns pasivo
Monitorizar carteras de criptomonedas
Los rescates de ransomware siempre se pagan con criptomonedas para dificultar el rastreo del dinero. Monitorizar las carteras de criptomonedas de las campañas no nos permitirá identificar las víctimas pero si el grado de beligerancia o la efectividad de la campaña. ¿Están recaudando mucho dinero?¿Reciben muchos pagos de muchas víctimas?. Nos podemos apoyar de servicios como Bitcoin Tracker, Wallet Explorer, Bitcoin.info o en desarrollos propios.
Ejemplo de transacciones en una campaña de Ransomware Ryuk
Análisis de certificados
Buscar certificados autofirmados o identificadores de certificados (fingerprint) utilizados por el atacante en servicios de SSL Pasivo.
Fingerprint certificado para buscar en ssl pasivo
Otras fuentes de OSINT
Buscar posibles empresas afectadas en otras fuentes abiertas como buscadores de Internet (Ej. Google Dorks), buscadores de Torrent/P2P, servicios IaaS mal configurados (Ej. Buckets S3 de Amazon) o servicios FTP abiertos.
Ejemplo de identificación de empresa comprometida utilizando un Google Dork
Retrohunting en servicios de sandboxing
En algunos casos los cibercriminales personalizan el ataque tanto al detalle que la nota de rescate como la extensión de los archivos cifrados llevan el nombre de la empresa afectada. Y una de las malas prácticas que hace la gente delante de un incidente de seguridad es subir muestras del malware a servicios de Sandboxing para identificar de qué amenaza se trata. Podemos aprovechar estos dos factores para buscar en servicios de sandboxing como VirusTotal, Hybrid Analysis, VMRay o Joe Sandbox, utilizando la funcionalidad de retrohunting en el caso de VirusTotal, para identificar estas muestras personalizadas. En algunos casos cuando la sandbox no nos dé la información directamente deberemos detonar las muestras en una sandbox propia, utilizando por ejemplo Cuckoo.
Identificando empresas con las extensiones personalizadas en VirusTotal y Cuckoo.
También nos podemos valer de pecularidades del ransomware para la función de retrohunting de VirusTotal. Por ejemplo Bitpaymer utiliza un killswitch que consiste en un fichero que se instala en la raíz del disco duro llamado c:\aaa_TouchMeNot_.txt. Buscando muestras de malware que contengan el mismo fichero detectaremos nuevas empresas comprometidas.
Búsqueda de muestras similares con aaa_TouchMeNot_ en VirusTotal
El ejemplo de Bitpaymer
El caso del ransomware Bitpaymer se ajusta a esta última técnica de retrohunting en servicios de sandboxing. Los operadores de Bitpaymer autodenominados EvilCorp o Indrik Spider por el fabricante de ciberseguridad CrowdStrike modifican las extensiones de los ficheros que cifran con el nombre de la empresa afectada. Y por ello veremos en próximas entradas su posible relación con el caso Garmín.
Realizando la técnica anterior se pueden revelar datos como los siguientes:
Sector y fecha de compromiso de ransomware Bitpaymer
Identificamos hasta 12 empresas comprometidas en un periodo inferior a 6 meses. Las cuáles aunque destaca el sector Salud podemos decir que pertenecen a sectores totalmente heterogéneos. Mientras sean empresas grandes que puedan pagar un buen rescate.
Distribución por países y tendencia de Bitpaymer
Identificamos que la mitad de las víctimas pertenecen a EEUU y después se reparten por Europa y Canadá. Además existe una tendencia alcista de los compromisos.
Esta información sobre las vícitmas de Bitpaymer nos puede dar una idea sobre si este ransomware concreto nos puede afectar. En próximas entradas hablaré un poco más sobre cibercrimen y la relación con el caso Garmin.