TLP: WHITE
Pública
Hot Bulletin
Ataque de
ransomware a IFX
Networks - versión
1.0
25-Sep-23
Clasificación: Pública
Pública
Lo que sucede en Colombia y porque IFX
Networks está en el ojo del huracán
Fuente: SISAP - CERT
Palabras clave: Mario ransomware, RansomHouse
Resumen Ejecutivo
La infraestructura de servidores ESXi que hospedaba decenas de máquinas virtuales en la red del proveedor de Servicio en
la Nube y Gestión Administrada (MSP) IFX Networks, se vieron afectados por un ataque de ransomware el martes 12 de
septiembre de 2023 a las 5:50 am, dejando fuera de servicios múltiples páginas del Gobierno de Colombia y algunas
organizaciones del Sector Privado, entre ellas: la Superintendencia de Salud (SuperSalud), Superintendencia de Industria y
Comercio (SIC), 30 servicios de la rama Judicial (Consejo Superior de la Judicatura),Ministerio de Salud y Protección Social,
EMSSANAR EPS S.A.S, entre otros.
El miércoles 13 de septiembre, el ministro del Ministerio de Tecnologías de la Información y Comunicaciones de Colombia,
Mauricio Lizcano afirmó que eran 762 las organizaciones afectadas en países como Colombia, Chile y Argentina. En el caso
de Chile, donde IFX opera como Netglobalis afectó a servicios tales como: Mercado Público, Chile Compra (que podría haber
provocado pérdidas millonarias al país con cada día fuera de servicio), Domino´s Pizza, entre otras.
Ante la urgencia, el Gobierno de Colombia convocó un Puesto de Mando Unificado (PMU) como un mecanismo de seguimiento
del incidente. Durante estas sesiones de seguimiento, IFX manifestó tener contratos con 46 entidades públicas en Colombia, de
las cuales 25 tenían servicios de conectividad y 21 tenían servicios de Datacenter (nube), asegurando que implementó un plan
de contingencia para el servicio de conectividad en las 25 entidades. Por su parte el CSIRT Presidencia y ColCERT afirmaron
recibir comunicación de 69 organizaciones de las cuales únicamente 22 solicitaron apoyo técnico.
Actualmente la empresa IFX Networks ha puesto a la disposición un comunicado oficial en su sitio web ampliamente criticado
por los expertos por no ofrecer información técnica relevante que ayude a enfrentar este tipo de amenazas. Al 24 de septiembre,
IFX Networks asegura haber puesto en línea a todos sus clientes luego de un minucioso trabajo de validaciones y restauración
de servicio.
Ante la falta de información técnica provista por IFX el Ministro TIC de Colombia, Mauricio Lizcano, ordenó acciones
administrativas contra IFX y afirmó estar estudiando una demanda civil y posible acción penal contra la empresa. Este ataque
se genera en medio de una polémica iniciativa de Ley para crear la Agencia Nacional de Seguridad Digital y Asuntos
Especiales en Colombia, que pretende articular y gestionar los riesgos de seguridad digital en Colombia, para prevenir
amenazas internas o externas.
Puede obtener más información a través de los boletines del ColCERT de Colombia, aquí.
Clasificación: Pública
Pública
RansomHouse detrás de escenas
Hasta el momento de la redacción de este boletín no se tienen una confirmación oficial de IFX sobre la variante de ransomware
que afecto sus sistemas, ni se ha observado a ninguna operación de ransomware atribuirse el ataque. Sin embargo, las
especulaciones sobre el incidente no se hicieron esperar y días después del ataque algunos investigadores de seguridad y
expertos de TI afirmaban que los operadores de RansomHouse podrían estar detrás del ataque utilizando una variante de
ransomware apodada “Mario”[1][2].
Figura 1. Nota de Rescate de Mario Ransomware en el ataque a IFX Networks
Algunos afirman que la infraestructura de IFX podría haber estado expuestas a múltiples vulnerabilidades entre las que
destacan las vulnerabilidades de ProxyNotShell Microsoft Exchange (CVE-2022-41040 y CVE-2023-41082), que expusieron
decenas de miles de servidores en a finales de 2022 e inicios de 2023. Sin embargo, estas afirmaciones no han sido confirmadas
por IFX.
Esta falta de información por parte de IFX está generando muchas especulaciones en la comunidad de ciberseguridad y
podrían generarse noticias falsas, que perjudiquen aún más la imagen de la organización.
El 23 de septiembre de 2023 el CSIRT de la Jefatura para la protección Presidencial de Colombia y el ColCERT emitieron un
boletín de seguridad con indicadores de compromisos y TTPs que confirman el ataque de RansomHouse con la variante Mario
a las redes de IFX. En el informe aseguran haber recibido una muestra de la variante del ransomware suministrada por el CSIRT
de Chile.
El Lunes 25 de septiembre el investigador de seguridad Germán Fernández afirmó que hasta la fecha tenía conocimiento de
un total de 330 servidores afectados de la red IFX Networks que entregaban servicios a 9 países entre ellos: Colombia, Panamá,
Honduras y Guatemala.
Clasificación: Pública
Pública
Operación de RansomHouse
RansomHouse inició como una operación de extorsion centrándose en el robo de datos confidenciales para pedir el pago del
rescate para no exponerlos a la venta o terminar filtrándolos de forma gratuita en la red de Tor, asegurando no cifrar con
ransomware los sistemas comprometidos. La operación se cree apareció por primera vez en Diciembre de 2021 y se busca
consolidar como una plataforma para varias operaciones de ransomware.
Figura 2. Conexiones de la operación de RansomHouse
En una investigación desarrollada por CyberInt aseguran que la banda es un grupo de Pentesters o Bug Hunters descontentos
que utiliza sus propias herramientas de hacking, algunos llegando a utilizar el ransomware WhiteRabbit que ha sido atribuido
al grupo FIN8. Además de esto, aseguran no operar con grupos hacktivista, ni estar afiliado a ningún gobierno, sino únicamente
apoyar a aquellos Bug Hunters independientes que no reciben un pago justo por encontrar fallos en los sistemas, según la
descripción oficial en su sitio en la dark web.
Figura 3. Descripción de los intereses de la banda RansomHouse en su sitio web en la red de Tor
Clasificación: Pública
Pública
Varios hallazgos interesantes fueron encontrados por VMware, en Junio 2023, durante una comparativa entre las operaciones
de ransomware 8Base y RansomHouse, asegurando que existen similitudes entre ellas. Por ejemplo:
•
Ambos utilizan diferentes variantes de ransomware disponibles en la dark web y no poseen una en específico.
•
Algunos detalles en su sitio de web de extorsión son similares así como la nota de rescate.
•
La forma en que se comunican con las víctimas
•
Una variante de Phobos ransomware de uso común entre ambos actores de amenaza. Es importante señalar que
la relación entre 8Base, Phobos y RansomHouse sigue sin estar clara.
De las diferentes variantes utilizadas por RansomHouse podemos destacar la utilizada en Adata Technology en 2022
(WhiteRabbit ransomware), el utilizado en ataque a los 8 distritos en Italia (White Rabbit & Mario ESXi) y el utilizado en Keralty
e IFX Networks (Mario). Este comportamiento ha llevado a algunos investigadores de seguridad a asegurar que RansomHouse
esté finalmente optando por utilizar este nombre de marca en sus ataques de ransomware.
Figura 4. Nota de rescate de Mario ransomware en el ataque a Keralty
Sobre el ransomware Mario, el equipo de SentinelOne afirmó que se trata de una de 10 de las variantes de ransomware
dirigidas a sistemas VMware ESXi y que podrían estar basadas en el ransomware Babuk filtrado en 2021.
RansomHouse logró hacerse de renombre luego de comprometer a 8 distritos Italianos en Julio 2022. Un ataque que fue
comparado con el pasado ataque de Conti a decenas de instituciones en Costa Rica.
Clasificación: Pública
Pública
Figura 5. Sitio de RansomHouse atribuyendose el ataque a 8 distritos en Italia
La nota de rescate dejado por los actores lleva el nombre “How To Restore Your Files.txt” y afirma que la variante lleva el
nombre de ransomware “White Rabbit & Mario ESXI”.
Otro ataque de mayor impacto causado por RansomHouse fue al sistema de salud de Colombia al cifrar los sistemas de TI de
la multinacional Keralty, que afectó los sitios web y operaciones de la empresa y sus subsidiarias como la EPS Sanitas y su
servicio de medicina prepagada, Colsanitas.
Figura 6. Sitio de RansomHouse atribuyéndose el ataque a Keralty
En este ataque se logró observar que los actores cambiaron el nombre del ransomware llamándolo “Mario Ransomware” que
agregará la extensión “.mario” a los archivos cifrados dejando caer la nota con el mismo nombre “How To Restore Your
Files.txt”.
Clasificación: Pública
Pública
Estadísticas de RansomHouse
A continuación analicemos algunos datos estadísticos de las víctimas de RansomHouse. Si bien es sabido que no todas las
víctimas son públicamente reveladas, debido a que algunas de ellas logran llegar a un acuerdo con los extorsionadores, en el
portal se encontraron al menos unas 52 víctimas que fueron públicamente extorsionadas, 29 de ellas listadas en lo que va del
2023. Esto significa que más del 50% de los ataques se han ejecutado en 2023, lo que representa un incremento en las
campañas y motivaciones de RansomHouse.
5
4
3
2
1
0
12/2/2023
8/6/2023
4/3/2023
3/9/2023
3/3/2023
1/6/2023
10/6/2022
6/10/2022
5/10/2022
4/12/2022
10/12/2021
30/01/2023
29/04/2023
27/03/2023
24/12/2022
20/03/2023
20/01/2023
16/04/2022
13/03/2023
Total
*/*/2022
Cantidad de víctimas
Víctimas extorsionadas por RansomHouse
Referente a los datos que fueron robados a las víctimas, al menos un 23% de todas los afectados ya fueron filtrados
públicamente. Generalmente las bandas de ransomware deciden filtrar la información al público como una forma de protesta y
venganza en contra de las víctimas que se niegan a realizar el pago por la recuperación de los pagos.
Tipo de extorsión del total de víctimas
Leak
23%
Encrypted
Leak
Encrypted
77%
Clasificación: Pública
Pública
Indicadores de Compromiso
Hashes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 C2
104.168.132.128.nip.io
hxxps[://]104-238-34-209[.]nip[.]io
TOR
hxxps[://]t[.]co/LXQIa0PKxF
hxxp[://]xw7au5pnwtl6lozbsudkmyd32n6gnqdngitjdppybudan3x3pjgpmpid[.]onion
hxxp[://]zohlm7ahjwegcedoz7lrdrti7bvpofymcayotp744qhx6gjmxbuo2yid[.]onion
Buenas prácticas para protección de servidores ESXi
Mantenga las interfaces de ESXi Shell y SSH deshabilitadas de forma predeterminada. Las interfaces están
deshabilitadas a menos que esté realizando actividades de solución de problemas o soporte técnico.
Si habilita el acceso a la interfaz de usuario de consola directa (DCUI), ESXi Shell o SSH, aplique directivas de seguridad
de acceso restrictivas y permita únicamente el acceso a los usuarios de confianza.
Utilice vSphere Client para la administración de tareas diarias, para tener un control de acceso basado en roles y a
métodos modernos de control de acceso.
Si administra hosts con una interfaz de scripting o API, no se dirija directamente al host. En su lugar, dirija el sistema
vCenter Server que administra el host y especifique el nombre de host.
Utilizar contraseñas robustas para al acceso a la administración del ESXi mediante la opción avanzada
Security.PasswordQualityControl
Deshabilitar el Explorador de objetos administrados (MOB) porque los atacantes pueden utilizar esta interfaz para
realizar cambios o acciones de configuración malintencionados. Utilice únicamente el MOB para la depuración y
asegúrese de que está deshabilitado en los sistemas de producción.
Clasificación: Pública
Pública
Buenas prácticas para respaldos en ESXi
Al realizar una copia de seguridad de una imagen de máquina virtual, asegúrese de que la VM se encuentre apagada
y no copiar el directorio lockfile (es el único subdirectorio que termina en ".lck"). Si se realiza una copia de seguridad
cuando la máquina virtual se está ejecutando, los resultados son incoherentes.
Al restaurar desde la copia de seguridad, use mover, no copiar. Esto evita problemas con direcciones Mac
duplicadas en la misma red.
Considere cada máquina virtual como un equipo independiente y asegúrese de tener instalado un software de
antivirus así como mantener actualizado el sistema operativo.
Habilite la opción de "Sincronización de tiempo entre la máquina virtual y el sistema operativo host" a través de
VMware Tools.
Si cuenta con software o datos importantes en la máquina virtual instale Code42/CrashPlan dentro de su máquina
y haga que ejecute copias de seguridad periódicas de los datos dentro de la misma. Hacemos notar que este método
no conserva la máquina virtual, solo los datos que contiene. Para el detalle del funcionamiento puede consultar
Cuentas de copia de seguridad de Code42/Crashplan
Se recomienda que el administrador de los sistemas de virtualización realice copias de seguridad manualmente
porque esto conserva tanto la máquina virtual como los datos que contiene.
Se recomienda que los Backups generados manualmente estén almacenados en una unidad externa al servidor.
Acciones Recomendadas
Crear una alerta en sus herramientas de seguridad para poder identificar este tipo de Ransomware, pueden consultar el
listado con el nombre de las detecciones de los diferentes fabricantes en base a los indicadores de compromiso
identificados.
Automatizar una tarea con la búsqueda activa en los sistemas de seguridad del Endpoint sde los indicadores de
compromiso adjuntos en la parte superior de este documento.
Realizar un escaneo de vulnerabilidades por el tipo de amenaza recomendamos priorizar en la parte de virtualización
para identificar si los equipos se encuentran actualizados y tienen los parches de seguridad para mitigar las
vulnerabilidades detectadas.
Bloquee el acceso externo de SMB a su red bloqueando el puerto TCP 445 con protocolos relacionados en los puertos
137–138 del protocolo de datagramas de usuario (UDP) y el puerto TCP 139.
Clasificación: Pública
Pública
Revisar la postura de seguridad de los proveedores externos y de aquellos interconectados con su organización,
validando que todas las conexiones entre proveedores externos y software o hardware externos sean monitoreadas y
revisadas para detectar actividades sospechosas.
Asegúrese que los procesos de concientización de usuario se estén llevando a cabo. Las personas no deben acceder a
ningún correo electrónico, enlace o archivo adjunto proveniente de fuentes no confiables.
Asegúrese de que las copias de seguridad estén encriptados, seguras y accesibles por el personal de TI.
Los recursos en línea, los sistemas operativos, el firmware y el software deben revisarse y parchearse a la última versión
para evitar la infección de malware.
Utilice contraseñas seguras y aplique la autenticación multifactor siempre que sea posible, cumpliendo con los estándares
del NIST.
Monitorear permanentemente las conexiones remotas basados en comportamiento, reputación y tipo de conexión.
Segmente las redes para evitar la propagación del ransomware.
Mantenga monitoreo de las cuentas nuevas o no reconocidas en los controladores de dominio, servidores, estaciones de
trabajo y directorios activos.
Supervise los Beacon a nivel de red para bloquear la exfiltración de datos por malware o Threat Actor.
Audite las cuentas de usuario con privilegios administrativos y configure los controles de acceso de acuerdo con el
principio de privilegios mínimos.
Si necesita ayuda con esta amenaza, cualquier otro incidente de seguridad o quisiera contribuir con más información, puede
escribirnos a los correos: inteligencia@sisap.com o sisap_cert@sisap.com Será un gusto poder apoyarles.
Clasificación: Pública
Pública
Clasificación: Pública