SOBRE LA AMENAZA
REvil aka Sodinokibi se ha posicionado como uno de los operadores de Ransomware más importantes y predominantes del mundo, entre los últimos ataques conocidos se encuentra el caso de JBS Foods quienes pagaron un rescate de 11 millones de dolares para recuperar la información del negocio.
En Chile tenemos el caso reciente de Apex America y el año pasado el incidente en Banco Estado, el que se vio forzado a cerrar sucursales e interrumpir la operación normal del banco para contener el ataque.
Si quieres conocer más sobre esta amenaza lee nuestro post TOP Malware Series: REvil Ransomware.
Hoy nuevamente tenemos una alerta a nivel nacional por el ataque en desarrollo a uno de los canales de televisión más importantes del país como es Canal 13, trabajadores de la estación aseguran que ha sido el «incidente más grave de Canal 13 en su vida».
La noticia en el siguiente artículo de El Filtrador https://elfiltrador.com/canal-13-sufre-por-el-incidente-mas-grave-que-ha-afectado-a-la-senal-en-su-historia/
A pesar de que no es mencionado, nuestra experiencia profesional y antecedentes adicionales nos indican que este es un ataques más de REvil Ransomware.
En paralelo, nuestra plataforma para el monitoreo continuo de ciberamenazas ATR (Alerta Temprana de Riesgos) detectó una muestra pública que pudo haber sido la utilizada en este ataque (reúne todas las condiciones), sin embargo, advertimos que aún esto no es oficial.
ACTUALIZACIÓN (17-06-2021 14:04 PM)
Canal 13 ha emitido un comunicado de prensa oficial sobre el incidente y ha compartidos los indicadores de compromiso, los que efectivamente concuerdan con la muestra analizada en este post. Hemos agregado las IPs del comunicado a nuestros IOCs, felicitaciones a Canal 13 por compartir esta importante información.
FIN ACTUALIZACIÓN
En base al análisis de esta muestra se logro extraer la configuración del ransomware y con ello los indicadores de compromiso relacionados para la protección de los interesados.
En la imagen a continuación se presenta parte de la configuración.
Algunos parametros interesantes son:
- net:true (El ransomware envia datos a los C2 configurados en el parametro dmn).
- exp:true (Explota CVE-2018-8453 para la escalada de privilegio en las máquinas)
- arn:false (No implementa persistencia)
Si quieres entender más sobre el desempaquetado y extracción de la configuración de REvil no dejes de ver este video-taller de Felipe Duarte aka Dark0pcodes.
ATAQUE SEGÚN MITRE ATT&CK
Una mirada del flujo del ataque según la matriz de MITRE ATT&CK.
SOBRE EL RESCATE
La imagen a continuación corresponde al portal para víctimas dispuesto por los operadores de REvil, en el que se puede observar el valor del rescate que asciende a 1 millón de dolares, si no hay pago antes del 24 de Junio el valor por el rescate se duplicaría.
Además, los atacantes señalan que si no se comunican con ellos en 3 días, publicaran el ataque en su propia pagina de noticias en la Dark Web.
INDICADORES DE COMPROMISO
A continuación dejamos los indicadores de compromiso obtenidos desde la configuración de la muestra analizada y desde el comunicado oficial de Canal 13.
Muestra Analizada: 98b4d614c3059e606dd802ef64f6cc86e1bf1efc4e3ee24c4543315757339d3c (Enlace a VirusTotal)
Family: Sodinokibi
Campaña: 8013
En la configuración existen más de 1220 dominios C2, muchos de estos han sido agregados con la finalidad de despistar a los analistas de seguridad, sin embargo, se debe generar una regla que permita la detección de equipos que se conecten a más de 5 de estos dominios de forma simultanea y desde un proceso desconocido.
Por otro lado, desde el comunicado oficial se obtiene:
- 85.203.134.23 | Express VPN
- 85.203.46.61 | Express VPN
- 85.203.15.81 | Express VPN
- 85.203.217.249 | Express VPN
- 85.203.44.149 | Express VPN
- 85.203.44.192 | Express VPN
- 188.119.113.80 | IP aloja el payload de Meterpreter (Metasploit) para la comunicación con el C2
C2: http://188.119.113.80:443/ODegERzeOxwcex16Q6Y-xQgTi008GrSd3zYISQ3jGmXplcWbKZTx1IXd6fnK2uYrA7SNUV9zY0nWICTfaiGuipkzRS04Ztd0j32tJXni_iCaeHsNawpcSbsWOfYOadLBNT6um1Yvwk2eG2aOD0DsckAvhLeODescarga de IoC’s
- CSV: https://www.cronup.com/IOCs/60caa141304d2244652ce595.csv.rar
- OpenIOC: https://www.cronup.com/IOCs/60caa141304d2244652ce595.xml.rar
- STIX: https://www.cronup.com/IOCs/60caa141304d2244652ce595.json.rar
RECOMENDACIONES DE SEGURIDAD
- Bloquee los indicadores de compromiso de forma preventiva.
- Realice respaldos regularmente y almacenelos de forma segura.
- Manténga el software actualizado y parche inmediatamente vulnerabilidades altas y críticas.
- Implemente un programa de concientización en Ciberseguridad.
- Mantenga un monitoreo continuo de ciberamenazas y detección de vectores de acceso.
- Segmente la red e implemente MFA para todos los accesos remotos y servicios críticos.
- Mantenga un plan de recuperación ante desastres actualizado y probado.
- Implemente un servicio de Ciberinteligencia y Pentesting continuo.
Threat Researcher en CronUp Ciberseguridad
Líder Red Team & Cyber Threat Intelligence.
