Características técnicas del ransomware que afectó al SERNAC

En este 2022 el ransomware afectó a diversos organismos públicos de LATAM. Conozca detalles del ciberataque al SERNAC y cómo prevenirlo en su organización. 

 

El ataque de ransomware al Servicio Nacional del Consumidor (SERNAC) se produjo el jueves 25 de agosto de este año, como resultado se interrumpió el funcionamiento de sus sistemas y servicios en línea. Complicando la recepción de reclamos de ciudadanos por el plazo de 12 días.   

 

Lo invitamos a conocer en profundidad cómo funciona este tipo de malware y las características de este ransomware en especial. 

¿Qué es el ransomware? 

Es un malware que se instala en el dispositivo de la víctima, cifra sus archivos y luego pide un rescate para devolverle esos datos al usuario. Por lo general, los ciberdelincuentes solicitan el pago en criptomonedas, ya que es una transacción muy difícil de rastrear.

El término es un acrónimo de las palabras ransom (rescate) y software.

 

Tipos de ransomware: cómo funcionan

El funcionamiento del ransomware dependerá de su clasificación. A continuación te contamos sobre los cuatro tipos de incidentes más comunes: 

 

• Diskcoder o ransomware de cifrado de disco 

Tipo de ransomware que cifra el disco completo del sistema, impidiendo que la víctima pueda acceder al sistema operativo.

• Ransomware de cifrado de archivo o Filecoder

Esta amenaza encripta archivos de un equipo impidiendo que los usuarios puedan acceder a ellos. Por lo general, cambia las extensiones de archivo de interés para las víctimas y en varios casos, también es capaz de cifrar unidades extraíbles y unidades de red mapeadas dentro del computador. 

En la actualidad, este ransomware es el más común, moderno y efectivo. Pero, aunque se remueva con facilidad del equipo, la información comprometida es difícil o casi imposible de recuperar. 

• Lockscreen o Ransomware de bloqueo de pantalla

Es un tipo de ransomware que fue uno de los primeros de propagación masiva. En la actualidad, es menos frecuente, pero sigue siendo popular en dispositivos móviles como teléfonos y tabletas con sistema operativo Android. Su objetivo es impedir el uso y acceso al equipo a su usuario mostrando un mensaje que bloquea la pantalla completamente hasta que pague el rescate.

Es más fácil de remover y suele tener consecuencias menores para los usuarios.

• Leakware

Es una técnica que están implementando los cibercriminales dentro del ransomware y que se extendió mucho en los últimos años. Su funcionamiento es, a través de la técnica doxware, los atacantes secuestran información y amenazan hacerla pública en caso de no pagar el rescate. 

Si bien se puede utilizar contra usuarios domésticos, está orientada hacia empresas y organizaciones en particular. Ya que suelen atacar información confidencial o datos esenciales para el funcionamiento de la compañía.

Lo complejo del leakware es que es difícil de eliminar, puesto que más allá de que se pague el rescate, no hay certeza de que realmente no vayan a publicar todos esos datos, borrarlos o hasta incluso usarlos para chantajear en un futuro.

 

Sobre el incidente de la vulneración de los sistemas informáticos del SERNAC

El jueves 25 de agosto, a través de un comunicado, el Servicio Nacional del Consumidor de Chile (Sernac) confirmó que había sufrido la vulneración de sus sistemas informáticos, lo que provocó la caída de su plataforma de atención a los consumidores.  

 

A raíz de este ataque, el Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT del Gobierno chileno, emitió un alerta informando las características del mismo. 

 

Características del ransomware que afectó al SERNAC

Para comprenderlo mejor, compartimos con usted los aspectos más destacados del ransomware que vulneró al SERNAC.

 

• Afectó servidores Microsoft y VMware ESXi en redes corporativas de la institución.
• Tiene la capacidad de detener todas las máquinas virtuales en ejecución y cifrar archivos relacionados con estas.
• Los archivos asumen la extensión “.crypt”, como vemos en el ejemplo a continuación:

C:\Users\Admin\Pictures\DebugSelect.raw >  C:\Users\Admin\Pictures\DebugSelect.raw.crypt

• El atacante toma control completo del sistema de la víctima, deja un mensaje de rescate informando la cantidad de datos secuestrados. Ofrece un canal de comunicación y un ID específico para contactarse con ellos.
• ¿Qué sucede si la víctima no los contacta? El atacante da un plazo de tres días para comunicarse, amenazando con impedir que los datos sean accesibles para la organización y poner estos activos a la venta a terceros en la darkweb.
• El ransomware utilizaría el algoritmo de cifrado de clave pública NTRUEncrypt. Afectando a: archivos de registro (.log), archivos ejecutables (.exe), archivos de bibliotecas dinámicas (.dll), archivos de intercambio (.vswp), discos virtuales (.vmdk), archivos de instantáneas (.vmsn) y archivos de memoria (.vmem) de máquinas virtuales, entre otros.
• El malware utilizado para el ransomware cuenta con características de infostealer:

• Roba credenciales desde los navegadores.
• Enumera dispositivos de extracción como HDD y pendrives.
• Posee capacidades de evasión de antivirus con timeout.

 

Mientras que, en este caso, los indicadores de compromiso (IoC) que pueden ayudar a detectar un ataque en las primeras etapas o defenderse son:

 

0t8I7t8q8.exe

 

SHA256; 39b74b2fb057e8c78a2ba6639cf3d58ae91685e6ac13b57b70d2afb158cf742d

 

6c1W1w0p9.bat

 

SHA256; ac73234d1005ed33e94653ec35843ddc042130743eb6521bfd3c32578e926004

 

lock.exe

 

SHA256: c42834ac1c8efc19c44024f1e4960c5a9aaab05dc9fceb0d1596ffe0c244f5f2

 

Este ransomware es detectado por las soluciones de ESET como Win64/Agent.

 

Por último, las tácticas empleadas según la clasificación de Mitre ATT&CK son las siguientes:

Recomendaciones para evitar los ataques ransomware como el del SERNAC

En el mismo documento de la alerta, el CSIRT de Gobierno brindó a la comunidad del Estado y entidades en convenio de colaboración recomendaciones a tener en cuenta para evitar estos ataques.

 

• Asegurar que todos los componentes de sus sistemas (PC y servidores) estén protegidos por programas antivirus, antimalware y firewall con sus licencias vigentes.
• Revisar los activos de VMware y Microsoft, cerciorándose que se encuentren actualizados y protegidos.
• Chequear de forma periódica que todo su software esté actualizado.
• Respaldos de sus datos y procesos más importantes: Los que deben estar separados (en el mejor de los casos, incluso físicamente) de los activos que respaldan. A la vez protegidos de manera adecuada con firewalls y protocolos de seguridad.
• Reforzar la concientización de los funcionarios: Enfatizando en la importancia de desconfiar de los correos electrónicos que reciben, en especial si incluyen archivos adjuntos. Y haciendo hincapié en la necesidad de informar a los encargados de ciberseguridad si alguien recibe un correo sospechoso.
• Verificar y fortalecer las configuraciones de sus servicios antispam: Porque los correos electrónicos son la principal vía de acceso de programas maliciosos.
• Segmentar la red y controlar acceso de usuarios: Con la segmentación de la red y el control de los privilegios de los usuarios se garantiza la adecuación a los requerimientos.
• Informar al CSIRT de Gobierno en caso de enfrentarse a un incidente de ciberseguridad.
• Revisar con frecuencia las alertas que publica el CSIRT de Gobierno sobre las nuevas campañas de phishing y malware que detectan: https://www.csirt.gob.cl/alertas/ 
• Informarse a diario de nuevas vulnerabilidades de importancia en programas de uso frecuente en el país en https://www.csirt.gob.cl/vulnerabilidades/ 

 

Desde Lockbits, estamos comprometidos para que la ciberseguridad de su organización cuente con las soluciones adecuadas. Póngase en contacto, esperamos su mensaje.