Ciberataques a servicios esenciales analizando ransomware

Ciberataques a servicios esenciales analizando ransomware

Tiempo de lectura estimado: 15 minutos


Esta conferencia magistral pertenece al Módulo 7 “Gestión de incidentes. Buenas prácticas en cibercrisis: Especial referencia Ransomware” de C1b3rWall Academy 2021/2022. El objetivo de la misma es analizar la importancia de los ciberataques a servicios esenciales e infraestructuras críticas, y de forma específica aquellos de tipología ransomware basados en el cifrado de la información.

La Oficina de Coordinación de Ciberseguridad (OCC) es un organismo enmarcado en la Dirección General de Coordinación y Estudios en la Secretaría de Estado de Seguridad. Lo forman integrantes de la Policía Nacional y de la Guardia Civil. Su sede está en el Centro Tecnológico de Ciberseguridad (El Pardo).

Conceptos básicos

Ciberataque

Un dibujo para ilustrar bastante bien el ataque a un sistema (ciberataque) es el siguiente: 

Frameworks

Para explicar cada una de las fases de un ciberataque existen varios frameworks. Algunos modelos más famosos son el CyberkillChain, que se compone de siete fases y el modelo Diamante, en el que se representan cuatro variables diferentes.

Sin embargo, el que más utilizan en el OCC es el modelo MITRE ATT&ACK. Antes debemos distinguir entre tácticas, técnicas y procedimientos:

  • Tácticas: El objetivo final del atacante 
  • Técnicas: La manera de ejecutar las tácticas 
  • Procedimientos: Implementaciones específicas (como las herramientas) y los pasos concretos que los atacantes usan para llevar a cabo las técnicas.

Al analizar el rastro que se deja en un ciberataque se puede atribuir la autoría a cierto grupo por su modus operandi.

Servicio esencial

Aquel servicio que se presta a través de redes de información y que es esencial para el funcionamiento de necesidades sociales básicas. Esto es, centrales hidroeléctricas, plantas potabilizadoras de agua, hospitales… 

Sistemas IT vs OT

Podemos diferenciar entre sistemas de información (IT) y sistemas de control industrial (OT). Los IT están mucho más enfocados en la integridad y confidencialidad de la información y los OT en la disponibilidad. Por ejemplo, es más importante tener acceso a agua potable (OT) que a nuestros datos (IT).

También se utilizan diferentes protocolos en cada sistema y su ciclo de vida es mucho más largo en los OT (15, 20 años) que en los IT (3, 5 años). Las infraestructuras críticas suelen sustentarse en sistemas de control industrial, y al tener características concretas los ataques son menos comunes. 

Directiva NIS

En Europa somos más conscientes de este tipo de ataques y en 2016 acogimos la directiva NIS que conlleva una obligación de trasposición a la legislación nacional de cada país miembro y recoge tres puntos principales:

  • Identificación de operadores de servicios esenciales de cada país (OSE)
  • Supervisión de obligaciones (esquema de seguridad).
  • Comunicación de incidentes. 

En España utilizamos la guía nacional de notificación. Se trata de un documento muy técnico y de taxonomía homogénea europea. Analiza el nivel de impacto y el nivel de peligrosidad y es obligatorio hacer una notificación inicial, intermedia y final, así cómo hacerlo cuando se superan ciertos umbrales.

A la autoridad competente, los incidentes que más le interesan son ransomware, defacement, DoS/DDoS, phishing e intrusion/APT. Una vez se detecta la intrusión se determina si es un delito y qué tipo.

Sectores atacados

El sector más atacado ha sido el financiero ya que manejan enormes sumas de dinero y son muy tentadores para los ciber delincuentes. En el año 2020 aumentaron de manera drástica los ataques al sector de salud.

Zonas de origen y destino de los ataques

Se puede observar que desde China proceden un gran número de ataques y que se centran en servicios financieros. En cuanto a Rusia, de ahí proceden una gran cantidad de IPs, también con objetivo el sector financiero. Irán, por su parte, lleva a cabo ataques mucho más puntuales y diversificados.

Los objetivos de todos estos ataques suelen ser países de occidente. El principal es Estados Unidos, pero también Canadá, Europa y Australia. En España gran cantidad de los ataques se comunican al Ministerio del Interior. En los últimos años se han encontrado ataques a diversos sectores:

Esquema general ransomware ¿Cómo lo hacen?

El CERT de Nueva Zelanda divide el ataque en tres fases:

  • Compromiso inicial. Se consigue la penetración en el sistema y se suelen utilizar técnicas de acceso con credenciales válidas, phishing, spear phishing, y en menor medida, explotación de vulnerabilidades remotas y 0-days. Explotan la ingeniería social, ya que en general, todos queremos ayudar, no nos gusta decir que no, el primer movimiento es de confianza hacia el otro y a todos nos gusta que nos alaben. Se aprovechan de las circunstancias sociales y cada vez son más sofisticados.

    Por un lado tenemos las vulnerabilidades de nuestro software y por otro los exploits asociados a las mismas. Los atacantes se aprovechan del aumento drástico de conexiones RDP en el 2020 y de las vulnerabilidades de los sistemas.

    Otro vector de entrada es el acceso con credenciales válidas. Mucha gente repite contraseñas muy poco robustas, por lo que, si tienen una, tienen todas. Además, al ser tan simples pueden encontrarse en diccionarios y bases de datos.

  • Consolidación y preparación. En esta fase el atacante ya tiene acceso al sistema, intentan desplegarse escalando privilegios y con movimientos laterales para someter a todo el sistema.

    Suelen cuidarse mucho de la anonimización de sus ataques utilizando proxys, redes VPN muy securizadas, codificación de conexiones, etc. También utilizan otras como backdoors (conexiones), credential stealer (acceso, copia o robo de credenciales), downloader (descarga maliciosa), dropper (extracción, instalación), launcher (ejecución y carga), ransomware (cifra)...

    Cobalt Strike aglutina todas esas herramientas. Es de Red Team, por lo que es totalmente legal pero se puede utilizar para hacer el mal. Está basado en Metasploit y Armitage.

  • Cifrado y explotación. Una vez el atacante tiene privilegio total dentro del sistema se lleva a cabo el cifrado y la explotación. Se cifran los datos exfiltrando la información a servidores C2, y si se puede, destruyendo los back-ups que encuentre. Lo hace mediante el cifrado de datos con criptografía simétrica y asimétrica. Y por último, solicita a la víctima el pago del rescate para la recuperación de la información.

    Con el doble cifrado, se realiza un primer cifrado con criptografía simétrica (más ligera, cifrado más rápido y más fuerte. Una clave simétrica). Después se realizó el segundo cifrado con criptografía asimétrica ( más versátiles y con mayor usabilidad,  cifrado más lento y menos robusto. Varias claves asimétricas). 

¿Quién lo hace?

Suele predominar el modelo ransomware as a service, y depende de la consultora suelen tener diferentes nombres pero son los mismos grupos. 

Estos grupos suelen hacer comunicados con fuertes amenazas a las víctimas en caso de acudir a las autoridades. Suelen funcionar como un cártel y la cúpula de la pirámide se suele quedar con un 30-35% de las ganancias. Se encuentran generalmente en Rusia o China y son profesionales del sector IT que dan el paso hacia una forma de delincuencia sencilla para ellos.

Basa su modus operandi en la confianza y si la víctima paga no suele publicar la información. Si tras el pago publicará la información, el modelo se rompería ya que las siguientes víctimas nunca pagarían. Las organizaciones suelen colaborar entre ellas y se facilitan malwares e infraestructuras entre ellas. 

La mayoría de pagos de las víctimas proceden de Norteamérica y Europa. Actualmente Estados Unidos está liderando la persecución contra estos grupos y desde el ataque a Colonial Pipeline han tomado conciencia de la gravedad y han endurecido la legislación y facilitado la burocracia.

También se ha publicado el documento Combating Ransomware que se focaliza en puntos como, fomentar la cooperación nacional e internacional, el ataque de raíz al modelo de negocio de los ataques tipo ransomware o la respuesta más efectiva a los mismos.

En la UE existe una revisión de la NIS (NIS 2.0) y a partir de 2023 se creará una unidad para dar respuesta a todo tipo de ataques con participación a nivel pública de todos los integrantes de la Unión Europea y de la parte privada.


¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

                   

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.


Ponente: Alberto Sánchez del Monte

Responsable de Operaciones en la Oficina de Coordinación de Ciberseguridad.

¿Cuál es tu reacción?

like

dislike

love

funny

angry

sad

wow

Acción formativa gratuita en ciberseguridad. Web: https://c1b3rwallacademy.usal.es/