NUEVO ATAQUE – Evento Ransomware REvil

Como seguramente todos se habrán enterado, el fin de semana un importante grupo de empresas de Argentina sufrió un ataque de ransomware que paralizó sus operaciones administrativas durante varias horas.

Ahora que se conocen detalles del ataque, desde WEZEN, queremos compartir algunas reflexiones con ustedes:

• El ataque fue perpetrado mediante el ransomware REvil (o Sodinokibi) aprovechando diferentes vulnerabilidades, entre las que se destacan el acceso mediante versiones no actualizadas y expuestas de RDP, y la escalada de privilegios mediante vulnerabilidades sin parches aplicados a tiempo. En particular, se sabe que este malware, aprovecha la vulnerabilidad CVE-2018-8453, la cual debería haber aplicado parches en cualquier sistema Microsoft hace casi dos años (https://support.microsoft.com/en-us/help/4471320). Además de lograr acceso de administrador del Active Directory, el ataque se ocupó de cifrar los archivos de los usuarios y servidores afectados, incluyendo los archivos guardados en Onedrive. Esto último, más que un problema, puede haber colaborado con la solución.

En base a este breve resumen, podemos ofrecerles algunas recomendaciones generales para minimizar el impacto de este tipo de ataques.

• Aplicar parches. Continuamente se detectan nuevas fallas en los sistemas, pero solamente un pequeño porcentaje de los ataques sucede en la etapa de “Zero-day” (o antes de que la vulnerabilidad sea conocida públicamente) y antes de que la misma sea corregida por el proveedor.
• Realizar Backup. La única solución para recuperar la información una vez sufrido un ataque de este tipo es recurrir a los backups. No está en discusión la posibilidad de pagar un rescate por diversos motivos que no vamos a discutir hoy. Una particularidad del ataque en cuestión es que muchos archivos afectados se encontraban en Onedrive, y fueron cifrados desde las Notebooks o PCs de los usuarios. Por fortuna, los archivos en este tipo de sistemas son fácilmente recuperables.
• Aplicar Parches. Sí, otra vez. Y parchar a tiempo. Es necesario programar una ventana de mantenimiento mensual en los sistemas críticos.  Si un sistema debe funcionar non-stop, se deben considerar estrictas medidas adicionales de aislamiento. Nadie se conecta a un SCADA obsoleto desde internet, ¿NO ES VERDAD?
• Disminuir la superficie de ataque. Acá entra tanto el no exponer servicios innecesarios (¿Quién necesita RDP a todos los servidores?), como evitar el software superfluo. Un RDP expuesto a Internet puede permitir el acceso (tanto sea por una vulnerabilidad sin parches como por ataques de fuerza bruta o diccionario, phishing, etc.), y luego software no imprescindible podría permitir una escalada de privilegios. Así de simple toman el control de un sistema.
• Aplicar parches a tiempo y realizar Backup. Sólo por si no hicimos suficiente hincapié.

Únicamente, luego de haber atendido (no necesariamente resuelto, pero obligatoriamente atendido) los puntos anteriores, podremos hablar de medidas adicionales como Protección de malware, IPS, WAF (para el caso de aplicaciones web), proxies reversos, latches, control de dispositivos móviles, etc. Todas estas medidas aportarán una capa más de seguridad, agregando su grano de arena en el marco del “Modelo del Queso Suizo” (https://es.wikipedia.org/wiki/Modelo_del_queso_suizo).

Si usted tiene alguna pregunta no dude en contactarse con nosotros: info@wezengroup.com