Conclusiones tras el ataque BadRabbit / DiskCoder.D

Ha sido el tema de la semana en materia de ciberseguridad, aunque, por desgracia, ataques como el protagonizado por Bad Rabbit / Diskcoder.D, que ha afectado principalmente a sistemas en Rusia y Ucrania, se están convirtiendo en demasiado frecuentes. No vamos a entrar en demasiados detalles técnicos sobre el ataque, puesto que de eso se han encargado muy bien nuestros compañeros de ESET, pero sí que vamos a analizar algunos de sus aspectos más relevantes.

¿Ransomware o ataque dirigido?

Puede parecer una obviedad, pero Bad Rabbit sí que parece realizar correctamente su labor de cifrado. A diferencia de WannaCry o (Not)Petya/Diskcoder.C, que tenían errores en la implementación del cifrado usado para cifrar los archivos que impedían que fueran recuperables, en esta ocasión los atacantes han usado un software de código abierto conocido como DiskCryptor.

Durante el ataque de (Not)Petya/Diskcoder.C de finales de junio, no fuimos pocos los que alertamos de que este malware no estaba diseñado para obtener beneficios pidiendo rescates a sus víctimas, sino para hacer el mayor daño posible. Esta característica, unida a un vector de ataque muy similar al usado por otro ransomware unas semanas antes y el análisis del código, dieron suficientes pistas como para vincular este ataque con el grupo conocido como Telebots.

Este grupo es el principal sospechoso detrás de alguno de los ataques más destacados contra infraestructuras críticas de Ucrania, con vinculación al grupo Black Energy, responsable de los ataques a centrales eléctricas de este país en diciembre de 2015. Sabiendo que se ha reutilizado parte del código usado en (Not)Petya/Diskcoder.C, es fácil establecer una posible conexión entre ambos ataques, aunque aún es pronto para sacar conclusiones definitivas.

Vectores de ataque y principales objetivos

A diferencia de ataques anteriores, el país que ha salido peor parado en número de sistemas infectados ha sido, con bastante diferencia, Rusia. Ucrania ha quedado en esta ocasión en segundo lugar, lo que representa un cambio de tendencia con respecto a ataques anteriores y plantea dudas a la hora de atribuir este último.

Como ya hemos dicho, el grupo Telebots siempre había tenido a Ucrania entre sus principales objetivos, llegando incluso a aparecer teorías que proponen que detrás se esconde algún tipo de atacantes con soporte del gobierno ruso. Esto no sería nada descabellado viendo que el conflicto que mantienen estos dos países sigue estando vigente, y este tipo de ataques solo formarían parte de un plan de guerra más amplio.

Entre los objetivos importantes que han sido afectados, los medios han destacado el aeropuerto de Odesa o el metro de Kiev, aunque seguramente haya más objetivos que no han salido a la luz para evitar dar pistas sobre el impacto real.

Con respecto al vector de ataque, en esta ocasión se ha optado por algo clásico como es la descarga de malware desde sitios legítimos y de confianza. A través de una falsa actualización de Adobe Flash, los atacantes consiguieron infectar los sistemas y propagarse a través de redes corporativas.

Movimiento lateral y referencias a la cultura geek

Para este movimiento lateral se han vuelto a usar algunos de los exploits de la NSA filtrados a mediados de abril por el grupo Shadow Brokers. Parece que (a pesar de que algunos informes iniciales lo descartaban) se utilizó, al menos, una variante modificada de EternalRomance para propagarse por las redes corporativas, además de otros sistemas como el protocolo Server Message Block (SMB), WMI o la utilización de fuerza bruta probando diferentes contraseñas.

Es aquí donde encontramos la primera referencia a un mito de la cultura geek, como es la película Hackers de 1995, ya que el listado de contraseñas que se prueban en el ataque de fuerza bruta para intentar acceder a otros sistemas, una vez este ransomware ya ha infectado un equipo en la red, coincide con el usado en dicha película.

Además, de nuevo encontramos referencias a Juego de tronos dentro del código de este malware, algo que se está volviendo bastante habitual desde hace bastantes meses y que ya hemos visto previamente.

Conclusión

Como en ocasiones anteriores, las investigaciones sobre este incidente pueden extenderse durante las próximas semanas o meses, y hay puntos que no quedan del todo claro. Por ejemplo, averiguar por qué Rusia ha sido en esta ocasión el país más afectado o por qué muchas de las empresas afectadas sufrieron el ataque al mismo tiempo, algo que probaría que los atacantes ya tenían acceso a sus redes desde antes.

En cualquier caso, y a menos que se apliquen de una vez por todas los parches que solucionan las vulnerabilidades utilizadas por los exploits de la NSA hechos públicos en abril y se apliquen medidas eficaces para evitar movimientos laterales del malware como los que hemos descrito, es muy probable que este tipo de ataques se sucedan a corto y medio plazo.

Josep Albors

 

 

Alertan sobre ataques en curso a infraestructuras críticas