Guardicore Labs expone nuevos detalles de una campaña de ataque masivo denominada Indexsinas (también conocida como «NSABuffMiner») que vulnera redes a través de servidores SMB y hace un agresivo uso del movimiento lateral para propagarse. La campaña de ataque apunta a servidores Windows vulnerables a EternalBlue (MS17-010) y aún está infectando máquinas en todo el mundo.
La propagación se logra mediante la combinación de un escáner de puertos de código abierto y tres Explotaciones de Equation Group: EternalBlue, DoublePulsar y EternalRomance. Estos exploits son utilizados para vulnerar nuevas máquinas víctimas, obtener acceso privilegiado e instalar puertas traseras. Estos exploits parecen seguir teniendo un gran éxito a pesar de que se hicieron públicos hace cuatro años después de su primera aparición en los ciberataques de WannaCry y NotPetya. Indexsinas demuestra que las redes hoy en día son vulnerables incluso a campañas de ataque oportunistas no dirigidas.
Alcance del ataque
Los ataques se originaron en más de 1300 fuentes diferentes, y cada máquina es responsable de solo algunos incidentes de ataque. Los IP de origen, que probablemente sean víctimas de los propios ataques, son principalmente ubicados en los EE. UU., Vietnam e India. El análisis de estos IP demuestra que varios sectores fueron infectados por Indexsinas incluyendo hoteles, universidades, centros médicos, gobierno, agencias y empresas de telecomunicaciones.
Los atacantes de Indexsinas son cuidadosos y calculados. La campaña ha estado funcionando durante años, con el mismo dominio de comando y control, alojado en Corea del Sur.
La amenaza del movimiento lateral es tan preocupante como la amenaza de ransomware.
El 2 de junio, la Casa Blanca de EE. UU. Envió una carta abierta a ejecutivos corporativos y empresas líderes del sector privado, instándolos a actuar y defender sus organizaciones de secuestro de datos. Uno de los párrafos destaca claramente la importancia de segmentar las redes corporativas.
La segmentación de la red no solo evita que un atacante se mueva lateralmente y alcance activos estratégicos y las joyas de la corona en la red; También ayuda a minimizar el daño (reducir el radio de explosión) al crear límites entre los servidores de la red y limitar el tráfico de red entre ellos.
Segmente sus redes: ha habido un cambio reciente en los ataques de ransomware, de robar datos hacia interrumpir las operaciones. De acuerdo a los investigadores de Guardicore, Liad Mordekoviz y Ophir Harpaz, es de vital importancia que el negocio corporativo funcione y las operaciones de manufactura / producción estén separadas. Asimismo que se filtre y limite cuidadosamente el acceso de Internet a las redes operativas, identificar los vínculos entre estas redes y desarrollar soluciones alternativas o controles manuales para garantizar que las redes ICS se puedan aislar y continuar operando si la red corporativa está comprometida. Es indispensable también probar regularmente planes de contingencia como controles manuales para que las funciones críticas de seguridad se puedan mantener durante un incidente cibernético.
¨El movimiento lateral dentro de una red comprometida se puede utilizar para eliminar cualquier tipo de carga útil, ya sea ransomware, herramientas de acceso remoto, puertas traseras y criptomineros. El movimiento lateral es la amenaza real, mientras que el ransomware es solo uno de los motivos para implementarlo. En el caso de Indexsinas, el movimiento lateral es utilizado para infectar tantas máquinas como sea posible con una herramienta de acceso remoto y un criptominer. La segmentación de la red es fundamental para evitar que estas campañas se propaguen e interrumpan operaciones de negocio¨, concluyeron los investigadores de Guardicore.
