Inicio
Tienda
Wishlist0

¿Hackeo o negligencia ?

La tendencia en Costa Rica en esta semana esta enfocada en la amenaza del grupo de hackers Conti, quienes aseguran haber tomado información sensible del Ministerio de Hacienda de Costa Rica y además de haber saboteado la página del MICITT (Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones).

Antes de desarrollar este artículo es importante aclarar algunos conceptos para que podamos entender de una mejor manera que es lo que se especula en las ultimas horas en redes sociales.

¿Qué es un Ransomware?

Un ransomware es una aplicación maliciosa (malware) que busca como tal el robo de la información de un usuario, organización o empresa con el fin de extorsionar a la víctima, haciendo que esta pague por la llave de cifrado o clave que devolverá el sistema a la normalidad. En caso de que no se pagué el rescate de la información la aplicación elimina la clave haciendo irreversible el proceso de recuperación de la información.

Malwarebytes empresa dedicada a la seguridad informática nos da un concepto mas concreto de lo anteriormente mencionado

El malware de rescate, o ransomware, es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder acceder de nuevo a ellos. Las primeras variantes de ransomware se crearon al final de la década de los 80, y el pago debía efectuarse por correo postal. Hoy en día los creadores de ransomware piden que el pago se efectúe mediante criptomonedas o tarjetas de crédito.

¿Cómo funciona un Ransomware?

La aplicación maliciosa inicialmente tiende a ser inofensivo mientras se realiza un sondeo para ver si existe la posibilidad de propagación, posteriormente mediante un proceso de criptografía toma los archivos del ordenador y cambia sus propiedades para que estos no sean accesibles por el usuario, posteriormente muestra un mensaje al usuario que la información ha sido secuestrada y que debe de pagar por la llave de reversión de dicho proceso mencionado.

Wannacry Decryptor – Fuente: The Conversation

¿Qué es un servicio SaaS?

El termino SaaS hace referencia a Software como servicio, lo que permite a los usuarios el uso de aplicaciones basadas en la nube pagando una suscripción, normalmente por plazos mensuales, semestrales o anuales. La forma de suscripción varía según el giro de la empresa que brinda el servicio, cabe mencionar que hoy por hoy hay una tendencia muy alta al uso de esta modalidad dado que permite al cliente tener una solución con altas prestaciones y por el tiempo que desee tener el servicio sin tener que incurrir en gastos altos de adquisición.

¿Qué es un RaaS?

Como se desarrollaba en el punto anterior algunos fabricantes ponen sus soluciones al servicio de terceros mediante pagos por suscripciones, el RaaS (Ransomware as a Service) es una variante del SaaS donde el servicio a dar o contratar es un malware de tipo Ransomware.  Es decir, un grupo de “Hackers” desarrollan la tecnología que es capaz de cifrar todos los archivos de la víctima volviendo inaccesible toda la información y como se mencionaba en la definición de Ransomware, cifrada la información se solicita el rescate. 

Los desarrolladores de estos ransomware as a service se ofrecen en la red oscura o Deep Web, principalmente, a través de 3 formas posibles:

  1. Pagando una suscripción mensual a cambio de usar el ransomware.
  2. A través de programas de afiliación, donde aparte de la cuota mensual, se paga también una comisión de los beneficios del rescate.
  3. A través de una licencia de un solo uso sin comisión.
  4. Solo a través de comisiones, es decir, no hay cuota mensual o de entrada, pero los desarrolladores del ransomware se llevan una comisión por cada ataque exitoso y rescate recibido

Esta metodología de adquisición de servicio hace que personas sin gran conocimiento realicen ataque masivos y sofisticados contra cualquier entidad de una manera sencilla.

¿Qué es CONTI?

CONTI es una aplicación maliciosa clasificada como ransomware que se vende en modalidad RaaS. Los sistemas que son infectados con este malware tienen los archivos cifrados y con la terminación .CONTI en cada uno de los archivos, los usuarios reciben alertas por medio de la herramienta de descifrado para que sea pagado el rescate y de esta forma que sea devuelta la información a su estado original.

Como se mencionaba anteriormente este malware durante el proceso de cifrado cambia la terminación de los archivos es decir si tenemos un documento Word que se llame “Contrato.docx” al finalizar el proceso de secuestro el documento pasara a llamarse “Contrato.docx.CONTI” este proceso de cifrado de forma recursiva hasta llegar al 100% de los archivos foco. Una vez culminado dicho proceso se crea un archivo TXT llamado “CONTI_README.txt” el cual se ubicará en el escritorio de la víctima

Escritorio encriptado con CONTI – Fuente: pcrisk.com

Dentro del archivo TXT o de texto plano como solemos llamarle… encontramos el siguiente mensaje:

“Your system is LOCKED. Write us on the emails:

mantiticvi1976@protonmail.com

fahydremu1981@protonmail.com

DO NOT TRY to decrypt files using other software.”

Archivo de texto CONTI – Fuente: pcrisk.com

Hemos analizado diversas capturas de este mensaje y siempre cambian los correos, por lo que se podría tratar del usuario del atacante dentro de la plataforma suministrada por el proveedor del servicio.

Análisis de la situación por Pc Masters Tech

Dada la tendencia a los memes en redes sociales hemos decidido realizar una investigación propia, claro está desde nuestro conocimiento técnico en seguridad informática, del porqué pudo deberse realizado el ataque a las dos instituciones del gobierno. Es importante aclarar y dar por entendido que todos los procedimientos que se detallaran más adelante son con fines didácticos y que cualquier ataque subsecuente no es de nuestra responsabilidad. Nuestras intenciones más que ser informativas y aclarar a la población de que CONTI es un servicio, más no un grupo de Hackers, es de hacer conciencia en las organizaciones, empresas y a nivel de nuestros hogares de las amenazas que andan circulando y nos topamos día tras día sin saber cuan peligrosas son.

Descubrimiento de infraestructura

Para realizar un ataque primero hay que conocer a la víctima un poco para saber como poder analizar las vulnerabilidades, para esto ocuparíamos tener acceso a la entidad o conocer un blanco fácil, dado que el eslabón más débil de la seguridad informática son las personas un atacante buscaría hacer ingeniería social o ver cómo, coloquialmente, endulzar a la victima para que esta caiga. Para simular el ataque, supondremos que somos ajenos al país, por lo que esto de intentar hablar con un funcionario resulta un poco difícil y casi imposible. Pero ¿realmente es así?

Resulta que un dominio (el nombre que se le da a un página seguido de una terminación conocida como lo es .com, .net, .org, .co.cr, .go.cr, etc) que cuente con una configuración acorde a la seguridad y privacidad debería de darnos muy poca información relevante y esto mas un complemento como lo es Cloudflare le da una cobertura adicional que mitigaría nuestro ataque conceptual, pero realmente una organización seguiría las buenas prácticas. Luego de este cuestionamiento interno decidimos poner en práctica la teoría y realizamos las pruebas con la herramienta web www.who.is en búsqueda de algún dato para nuestro ataque ficticio realizamos la consulta con el dominio del ministerio de hacienda y nos arrojó el siguiente resultado:

Pestaña DNS Records – Fuente: Who.is

Para nuestra sorpresa los DNS (Domain Name Server o Servidor de Nombre de Dominio) arrojaban varios registros interesantes para nosotros dado que tenían para consulta algunos servidores DNS disponibles pero lo más impactante es que también nos brindaron el contacto de un funcionario espinozamg@hacienda.go.cr con esto ya conseguimos el primer descubrimiento tanto de contacto interno de la institución como de servidores. El siguiente que nos cuestionamos en el proceso es que topología (infraestructura de servidores y redes) nos arrojaría estos DNS, por lo que sin pensar abrimos  nuestra herramienta web www.dnsdumpster.com y procedimos a realizar la consulta directamente con el dominio principal  y nos dio el siguiente resultado:

Topología de Ministerio de Hacienda – Fuente: DNSDumpster

Nuevamente nos llevamos la sorpresa teníamos todos los blancos posibles para atacar, toda una infraestructura alojada en el Instituto Costarricense de Electricidad y Telecomunicaciones, en nuestra mente fue como un parque de diversiones para el cibercrimen servidores expuestos para que cualquiera pueda intentar ataques de penetración.

Recomendaciones

Nuestra recomendación para la organización esta basada en varios puntos claves:

  • Fortalecimiento del manejo del dominio y los registros DNS.
  • Implementación de HoneyPots (servidores para ser atacados) y WAF(Web application firewall) que mitiguen este tipo de ataques, por ejemplo CloudFlare el cual coloca una dirección IP diferente por medio de un Proxy.
  • Inversión en almacenamiento para respaldos completos como diferidos en plataformas como S3 de Amazon.
  • Migración a instancias Docker, EC2 de Amazon o Azure donde si algo pasa solo se restaura un respaldo.
  • Redundancia en los servidores y servicios, si un servidor o instancia se hackeado, excluyamos el nodo, pero levantemos una versión aparte y analizamos las fallas (es un Ransomware alguien lo ejecutó, no entro solo a los sistemas).
  • Se debe de invertir en un equipo de incidencias interno aplicar como se indica I.T.I.L y COBIT, marcos con los que se rigen varías instituciones. (Normativa de buenas prácticas SUGEF)

Conclusión

En conclusión, hay diversos temas de riesgo que deben ser analizados posterior al ataque recibido, hay muchos factores en juego que dejaran a la población muy pensativa de como se realizan las cosas en la organización y a nivel de gobierno con las caídas que se han ido mostrando con el paso de los días.  Este sin sabor a causa de las grandes sumas de dinero aprobadas para la entidad de $156 millones de dólares para la mejora de un sistema, esto según a la publicación de Semanario universidad visible en este enlace publicado el 12 de noviembre del 2020, que 2 años mas tarde no cuenta con medidas de seguridad y desconexión de servicios poniendo de lado la triada de la información (confidencialidad, integridad y disponibilidad).

Ir arriba
El producto se agrego a su carrito de compras