Banco Estado vulnerable al ciberataque


AIR

Sebastián Sichel

El Banco Estado ha declarado durante el fin de semana un incidente de ciberseguridad, el cual ha significado que durante este lunes la institución informara a través de un comunicado de prensa que las sucursales no estarán operativas y permanecerán cerradas durante la jornada del lunes 7 de septiembre de 2020.

El banco Estado no se caracteriza por una buena atención a sus clientes, cobros abusivos por giros y en el último tiempo problemas en la seguridad de sus operaciones y servicios. La APP deficiente y con fallos en su configuración, ahora se agrega el hackeo a sus terminales.

Algunas fuentes asocian su autoría al mismo equipo que desarrolló el malware GandCrab, siendo una evolución de este último. Esta afirmación se sustenta en la similitud del código fuente, tanto en estructura como en funcionamiento, además de presentar el mismo modelo de actualización y versionado, así como unos vectores de propagación muy similares.

El banco envió correos informando a sus clientes de problemas operativo de las sucursales: 《” Queremos informar que debido a la acción de terceros a través de un software malicioso, nuestras sucursales no estarán operativas y permanecerán cerradas hoy. Estamos haciendo todos los esfuerzos para poner en funcionamiento algunas sucursales durante la jornada. En nuestros canales oficiales estaremos informando cualquier novedad.

Hemos hecho las denuncias correspondientes y llamamos a todo a quien tenga información a hacer las denuncias.

Reiteramos nuestro llamado a utilizar nuestros canales remotos o digitales, tales como CajaVecina, Cajeros Automáticos y App.

Estamos haciendo todos nuestros esfuerzos para contener y revertir esta acción maliciosa de personas que buscan afectar la acción cotidiana de millones de chilenos que utilizan diariamente BancoEstado. Seguimos trabajando para reestablecer en su totalidad los sistemas operativos afectados...

Para atender dudas o consultas, disponemos de nuestro call center 600 200 7000 “》Canal de atención que presenta deficiencias en el acceso de los clientes.

Lo que el banco no informa o no aclara es el alcance del hackeo, toda la información sensible financiera fue capturada por acción de terceros. El Sodinokibi es un ransomware para sistemas Windows cuya propagación sigue el modelo RaaS (Ramsonware as a Service), es decir, código malicioso que se comercializa de forma personalizada, ajustándose a las necesidades de cada uno de los suscriptores.

Para infectar los sistemas, recurre a diferentes técnicas de ofuscación, principalmente basadas en criptografía, para dificultar su análisis e identificación de sus firmas por parte de otros programas de seguridad, como antivirus o sistemas de detección de intrusión (IDS), esta característica lo hace extremadamente peligroso ya que pasa desapercibido ante controles de este tipo.

Los ciberdelincuentes estudian los fallos y vulnerabilidades de sus potenciales objetivos, que requiere de técnicas más avanzadas y de una mayor complejidad, lo cual se traduce en un incremento en la sofisticación, propagación y persistencia del malware. Un ejemplo de ello es Sodinokibi, también conocido como Revil, Bluebackground o Sodin, que, en muy poco tiempo, ha logrado afectar a ordenadores de todo el mundo. El banco Estado tiene responsabilidad legal ante sus clientes, que confían sus dineros y más si son cuentas RUT.

Consultados a ingenieros informáticos y publicaciones especializadas, explican el complejo funcionamiento de este malware:

El archivo ejecutable se empaqueta de forma personalizada, empaquetando todas las cadenas de texto, nombres de librerías y archivos DLL mediante el algoritmo criptográfico RC4, empleando una clave aleatoria diferente y de longitud variable para cada uno de los elementos cifrados. De esta forma, las cadenas de texto, las tablas API y las referencias a librerías en las que se basa habitualmente el software antivirus para detectar código malicioso resultan ineficaces en su identificación.

La información para su carga se descifra en tiempo de ejecución, utilizando el hash de la cadena en lugar de la propia cadena, lo cual incrementa aún más la dificultad de detección. Además, en su estructura de datos tampoco es posible reconocer el tamaño de las claves ni los datos, lo que hace muy difícil su descifrado por medios automatizados mediante herramientas y métodos convencionales.

Una vez que el código malicioso se ejecuta en el sistema de la víctima, gracias a alguno de los diferentes vectores de ataque, su primera acción es generar un identificador o mutex, para evitar que entre más de un proceso a la vez en la sección crítica. De esta forma, previene fallos de funcionamiento y dificulta su detección.
El siguiente paso es descifrar la configuración incrustada en su código en formato JSON, que dictará las operaciones que llevará a cabo en función de los parámetros que haya seleccionado el suscriptor del servicio malicioso, por lo que podrán variar de unos a otros.

Antes de proceder al cifrado de los archivos propiamente dicho, este código malicioso también comprueba si se está ejecutando con privilegios de “SYSTEM”. Si fuera así, Sodinokibi buscará el proceso “explorer.exe” para obtener el token de sesión del usuario que está utilizando el equipo, y, mediante la función ImpersonateLoggedOnUser, disminuir los privilegios del código malicioso, evitando de esta forma que el entorno de usuario de “SYSTEM” se vea afectado en la operación de cifrado de los archivos.

Cifrado de archivos

Una vez hecho esto, comienza el cifrado de los archivos, tanto de las unidades locales como de las unidades de red conectadas al mismo, a excepción de algunas carpetas y extensiones del sistema operativo que permita el mínimo funcionamiento del equipo, así como aquellos archivos que se hayan indicado en los parámetros de configuración.

Para ello, emplea varios algoritmos criptográficos y genera localmente varias claves, tanto asimétricas (par clave privada-pública) como simétricas (clave única), haciendo uso del protocolo de curva elíptica Diffie-Hellman (ECDH) para su generación.

  • Cifrado simétrico con AES:
    • Utilizado para el cifrado de la clave privada de un par de claves que se genera localmente en el propio equipo sobre el que se ejecuta este ransomware, y cuya clave pública será utilizada en el cifrado de los ficheros.
    • Utilizado para cifrar los datos que intercambia el equipo atacado con la consola de comando y control, si se produce la comunicación con este componente.
  • Cifrado simétrico con Salsa20:
    • Utilizado para el cifrado de los archivos objeto del secuestro, a partir de la  clave pública generada previamente y una clave privada generada para cada fichero.

Sodinokibi está diseñado para poder mantener persistencia en el sistema atacado, ya que incluye código para ello. Cuando esta opción está activada en su configuración, se incluirá en el registro de Windows, siendo este sistema operativo la puerta de acceso al cibe ataque.

Este ransomware, a diferencia de otras variantes, dispone de manera local de todos los recursos necesarios para llevar a cabo el secuestro de datos, por lo que no necesita conectar con el exterior para obtener configuraciones, claves u otros datos para su funcionamiento.

Muchos analistas apuntan a que la mayoría de las infecciones se producen como consecuencia de una configuración de RDP (Remote Desktop Protocol) insegura, pero también es viable que los atacantes puedan utilizar como vector de propagación la infección de paquetes de actualizaciones legítimas y otro tipo de software utilizado en el entorno industrial, que les permita el acceso interactivo a los equipos infectados. Tampoco se descarta que pueda utilizar otros medios de propagación habituales en la distribución de malware, como puede ser el spam con adjuntos maliciosos.

A diferencia de otros ransomware dirigidos a equipos informáticos del ámbito TI, que tratan de propagarse a la mayor velocidad posible e infectar el mayor número de equipos, Ekans no dispone en su diseño de rutinas de replicación y para su difusión en las infraestructuras atacadas recurre a la ejecución de scripts que se lanzan al obtener acceso al equipo, en modo interactivo, u otras técnicas, como la programación horaria de tareas. Los ciberatacantes esperan comprometer las infraestructuras aprovechando las funcionalidades de administración que proporciona el dominio Windows, a través del AD (Active Directory) y otros mecanismos de gestión propios de los sistemas operativos de Microsoft, para alcanzar el mayor número posible de equipos simultáneamente. ” incibe-cert

¿Como se logra identificar este malware?

Síntomas de un ordenador infectado por Sodinokibi

Los sistemas infectados con el ransomware Sodinokibi muestran los siguientes síntomas:

  • Modificación del fondo de escritorio.  Igual que hace otro tipo de ransomware, Sodinokibi modifica el fondo de escritorio de los sistemas afectados con un aviso en el que se indica a los usuarios que sus archivos han sido encriptados. El fondo de pantalla tiene un fondo azul, con el texto.
  • Presencia de nota de ransomware.  El  archivo -readme.txt al que hace referencia es la nota de rescate que viene con cada ataque de ransomware. En esa nota se establecen las instrucciones sobre cómo los afectados pueden realizar el pago del rescate y cómo se realizará el descifrado.
  • Archivos cifrados con un nombre de extensión de 5 a 8 caracteres.  Sodinokibi cifra ciertos archivos en unidades locales con el algoritmo de cifrado Salsa20, con cada archivo renombrado para incluir una extensión alfanumérica que tiene de cinco a ocho caracteres de longitud. El nombre de la extensión y la cadena de caracteres incluidos en el nombre del archivo de la nota de rescate son los mismos.
  • Se suprimen las copias de seguridad de instantáneas y se desactiva la herramienta de reparación de inicio de Windows. El primero es una instantánea de un volumen que duplica todos los datos que se mantienen en ese volumen en un instante bien definido en el tiempo. La herramienta de recuperación se usa para solucionar ciertos problemas de Windows. La eliminación de instantáneas evita que los usuarios puedan restaurar desde una copia de seguridad cuando encuentran que sus archivos están encriptados por ransomware. Deshabilitar la herramienta de reparación de inicio impide la corrección de errores del sistema causados ​​por una infección de ransomware.

El banco no a dado a conocer la nota de rescate de los archivos, se a limitado a bajar el perfil al ciberataque, que afecta directamente a sus clientes. Hasta ahora no hay una información oficial del ciberataque identificando al malware.

Antecedentes a nivel mundial del alcance que puede tener este ransomware:

A finales de 2019, mientras que la mayor parte del mundo estaba preparando sus celebraciones de año nuevo, Travelex se enfrentaba a un devastador ataque de ransomware. En las primeras horas del 31 de diciembre, la compañía de cambio de divisas fue golpeada con Sodinokibi, una cepa de ransomware potente y altamente sofisticada que encriptaba archivos comerciales clave y dejaba archivos readme en las computadoras infectadas.

Estos archivos readme instruyeron a Travelex a pagar un pago de seis cifras en bitcoin a través de un dominio de nivel superior registrado en China. Los piratas informáticos dirigieron al personal de Travelex a un sitio web que solicitaba a los usuarios ingresar una clave de acceso que desbloqueara instrucciones sobre cómo pagar el rescate.

El ataque hizo que los sitios web de Travelex en 20 países fueran inaccesibles y dejó sus puntos de venta de aeropuertos sin acceso a Internet o correo electrónico. Los informes afirman que las computadoras que contienen información confidencial, como nombres de clientes y detalles de cuentas bancarias, se han infectado con el virus. El ataque de Soninokibi no solo interrumpió las operaciones de Travelex; También causó interrupciones en bancos como Barclays, Virgin Money y Sainsbury’s.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s