Ataques de ransomware a Orange y ¿Telecom? (Confirmado)
Actualización 21/07 18:00 hs: diferentes usuarios en Twitter (por
ejemplo
1ZRR4H) han ido recolectando los datos de lo que posiblemente sucedió en el
ataque. Ante el silencio de la empresa, esto fue posiblemente la cadena de
sucesos:
-
Como informamos originalmente, se trata de un ataque dirigido en el
cual se utilizaron
servidor/es Citrix sin parchear. Se puede haber utilizado
CVE-2019-19781
(de enero 2020) o similar.
- El ataque también puede haber sido realizado a través de servicios RDP internos y con Windows 7.
-
A través de ese medio, los delincuentes ejecutaron un troyano que
finalmente produjo una infección del
ransomware REvil / Sodinokibi (análisis del ejecutable del malware).
-
En la infección se utilizaron técnicas de
Malware Less con Powershell. Por ejemplo, se ejecutó el siguiente comando:
Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_Delete();}
- Como todas las infecciones anteriores de REvil, se utiliza la siguiente dirección ONION:
hxxp://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd[.]onion/{UID}
- Hay análisis realizados con GHIDRA, del ejecutable y del C&C que permiten obtener información útil del malware y los Tácticas, Técnicas y Procedimientos (TTP) utilizados.
- Los dominios e IPs identificados en los troyanos se corresponden con estos IOCs (Indicadores de Compromiso).
- firstpaymentservices[.]com
- krcove-zily[.]eu
- www[.]beaconhealthsystem[.]org
- mardenherefordshire-pc[.]gov[.]uk
- beaconhealthsystem[.]org
- extraordinaryoutdoors[.]com
- acomprarseguidores[.]com
- leda-ukraine[.]com[.]ua
- naturavetal[.]hr
- stopilhan[.]com
- www[.]naturavetal[.]hr
- corelifenutrition[.]com
- softsproductkey[.]com
- http://188[.]166[.]74[.]218/office[.]exe
- http://188[.]166[.]74[.]218/radm[.]exe
- http://188[.]166[.]74[.]218/untitled[.]exe
- http://45[.]55[.]211[.]79/.cache/untitled[.]exe
- 5[.]101[.]0[.]202
- 23[.]81[.]143[.]21
- 102[.]129[.]224[.]148
- 130[.]61[.]54[.]136
- 144[.]202[.]62[.]148
- 109[.]74[.]144[.]58
- 172[.]67[.]144[.]41
- 23[.]20[.]239[.]12
- 104[.]20[.]208[.]67
- 78[.]46[.]2[.]139
- 142[.]93[.]110[.]250
- 104[.]31[.]65[.]194
- 157[.]230[.]111[.]207
- 144[.]76[.]156[.]118
- La nota de rescate del ransomware recibe el nombre "[ALEATORIO]-readme.txt" y se pueden ver aquí.
-
Algunos de los archivos o IOCs identificados en el ataque son
los siguientes.
- dc732c1ebfd20e219236289f1815830abd704bc340e8e35966754666c1a2cd01
-
75f9975c16b9a001b62a724dbdf048ffffd2cfc7d7d5e6f94c85ef2d56a591d4
- 909b520c493bd868b94e361035c425a343786cf06b935d3a01621dffd849e0fe
- 9793e0ba85d2b0c14960b6cc506fe2aecb952795e167d504e2701b4dd399dbb6 - Informe HTML
- 2c5748124b8609d1cf71a44d77177c9a92bca21f9d9be9c487fdaf6072500f15 - Informe HTML
- 34a813a1016a70161b66e00c628d9eddb97ecfa78e2272de2e7e86f8c981a9e9
- 6f2432e4ac98575aa653094123b478bf6c3aa9b00aaad84dfd09045a96d6b970 - Informe HTML - Any.Run
-
c4e4ba1df696daaaa6675d93199a1a94e6cc7729fe44042fe24713e2f6ce7c9d
- a28e23ad4033341694551d6f59737138de9f1997384da5ae9a1642cc8c9e237f - Informe HTML
---=== Welcome Again ===---
[+] Whats Happen?
[+] Your files are encrypted, and currently unavailable You can check it: all files on your computer has extension [ALEATORIO] the way, everything is possible to recover (restore), but you need to follow our instructions Otherwise, you cant return your data (NEVER)
[+] What guarantees?
[+] Its just a business We absolutely do not care about you and your deals, except getting benefits If we do not do our work and liabilities - nobody
Actualización 20/07 09:00 hs: los usuarios finales no han sido
afectados por lo que el servicio de Telecom, Fibertel y Cablevision puede
utilizarse con normalidad.
El ataque fue específicamente al sector interno: ningún usuario de Telecom, Personal o Fibertel se vio afectado.
Los usuarios corporativos lamentablemente no han recibido ninguna notificación
oficial de la empresa pero no se conocen casos de afectados, ya que el ataque
y daño fue en la red interna de Telecom.
Actualización 19/07 10:00 hs: según diversas fuentes, no se han
afectado a cuenta de los clientes, y los usuarios internos afectados podrían
seguir trabajado luego de la recuperación de los backups correspondientes. Los
sistemas internos afectados serían la VPN corporativa, Citrix, Siebel,
Genesys, las máquinas virtuales del Customer y Field Service y PC de usuarios
internos.
Por ahora
no se conoce un comunicado oficial de la empresa a sus clientes
corporativos, lo cual lamentablemente hace que la situación de incertidumbre sea aún
mayor.
Actualización 19/07 09:00 hs:
esta cuenta de twitter
informa la situación.
Actualización 21:45 hs: las fuentes hablan de al menos 18.000 equipos
afectados y el escalamiento de privilegios a Domain Admin por parte de los
atacantes.
Actualización 21:30hs:
información no confirmada indica que los delincuentes estarían pidiendo
U$S7,5 millones de Monero
para la recuperación de los archivos. Este es un listado de las organizaciones afectadas en otros países y de las cuales se ha publicado datos confidenciales por no haber pagado.
Actualización 21:00 hs: al parecer el ataque ha sido sobre archivos
de Office365 y OneDrive de empleados de Telecom Argentina, habiendo sido
cifrados con nombres aleatorios y pidiendo un rescate por los archivos.
De acuerdo a distintas fuentes, se trataría del
ransomware REvil (también conocido como Sodinokibi)
que se identificó por primera vez el 17 de abril de 2019. Este ransomware
es utilizado por el grupo de amenazas GOLD SOUTHFIELD, motivado
financieramente, que distribuye el ransomware a través de kits de
explotación, técnicas de exploración y explotación y servidores RDP
expuestos.
El grupo
REvil o Sodinokibi
o
Gandcrab
es el mismo que róbo información de la firma de abogados Grubman Shire
Meiselas & Sacks y luego exigieron un pago de 42 millones de dólares en
criptomonedas para no revelar secretos legales de celebridades e individuos
importantes. Recientemente ha evolucionado con nuevas versiones que le han
permitido robar información de Travelex , GEDIA , Har Shalom , Artech , etc.
Están siguiendo la tendencia reciente en grupos de ransomware, como robar
datos antes de cifrar los archivos. Y si el rescate propuesto no se paga,
amenaza con filtrar los datos.
Como parte de la filtración de los operadores del ransomware publicaron un archivo de 339 MB titulado 'Orange_leak_part1.rar' que contenía datos que supuestamente le habían robado a Orange durante el ataque.
La cuenta de Twitter Ransom Leaks, administrada por investigadores que analizan las fugas de ransomware, dijo que este archivo contenía correos electrónicos, esquemas de aviones y archivos de ATR Aircraft, un fabricante francés de aviones. Estos datos pueden indicar que ATR es un cliente de la plataforma de Orange y fue robado durante el ataque.
Dado que el robo de archivos sin cifrar es un componente importante de las operaciones de ransomware dirigidas a empresas, todos los ataques deben considerarse violaciones de datos. Casi todos los ataques de ransomware ahora incluyen un componente de pre-cifrado donde los atacantes roban archivos no cifrados de la víctima.
La amenaza de liberar públicamente estos archivos robados es la última utilizada como palanca para obligar a las víctimas a pagar la demanda de rescate.
Actualización 20 hs: confirmado el ataque con un Ransomware a
Telecom Argentina.
Actualización 19:00 hs: comentarios en Argentina indican que este
ataque estaría relacionado con otro a Telecom el día de la fecha.
Desde Segu-Info esperamos que los colegas puedan resolver rápidamente el problema.
Orange confirmó a BleepingComputer
que sufrieron un ataque de ransomware exponiendo los datos de veinte de
sus clientes empresariales. Orange es una compañía de telecomunicaciones
francesa que ofrece servicios de comunicación al consumidor y servicios
comerciales a la empresa. Con 266 millones de clientes y 148.000
empleados, Orange es el cuarto operador móvil más grande de Europa.
Orange confirmó que sufrieron un ataque de ransomware dirigido a su
división de "Orange Business Services" en la noche del sábado 4 de
julio de 2020 al 5 de julio. El 15 de julio pasado, los operadores de
ransomware detrás del
Nefilim
agregaron Orange a
su sitio de fuga de datos
y declararon que habían violado a la compañía a través de su división
"Orange Business Solutions".
Este ataque permitió a los operadores de Nefilim obtener acceso a veinte
datos de clientes de Orange Pro/SME.Como parte de la filtración de los operadores del ransomware publicaron un archivo de 339 MB titulado 'Orange_leak_part1.rar' que contenía datos que supuestamente le habían robado a Orange durante el ataque.
La cuenta de Twitter Ransom Leaks, administrada por investigadores que analizan las fugas de ransomware, dijo que este archivo contenía correos electrónicos, esquemas de aviones y archivos de ATR Aircraft, un fabricante francés de aviones. Estos datos pueden indicar que ATR es un cliente de la plataforma de Orange y fue robado durante el ataque.
Dado que el robo de archivos sin cifrar es un componente importante de las operaciones de ransomware dirigidas a empresas, todos los ataques deben considerarse violaciones de datos. Casi todos los ataques de ransomware ahora incluyen un componente de pre-cifrado donde los atacantes roban archivos no cifrados de la víctima.
La amenaza de liberar públicamente estos archivos robados es la última utilizada como palanca para obligar a las víctimas a pagar la demanda de rescate.
Fuente: Varias
YPF?
ResponderBorrarYPF Wrong
ResponderBorrarYpf no fue atacda. No bananeen con la info. Este es el archivo malicioso.
ResponderBorrarhttps://any.run/report/6f2432e4ac98575aa653094123b478bf6c3aa9b00aaad84dfd09045a96d6b970/099b0717-5e3a-4e40-8bcc-4639a38fae3b
¿Telecom. YPF...? 💁♂️
ResponderBorrarDeloitte tambien "dicen"
ResponderBorrarYPF no fue atacada y Deloitte tampoco, por favor eliminar ese dato incorrecto. Saludos
ResponderBorrarpara Herman dijo que borremos! jajaja quien sos para decir que es incorrecto? demostra que no por lo que dicen las redes si fueron atacadas
ResponderBorrarPrimero y principal no soy anónimo, no podemos nombrar empresas que cotizan en bolsa x si las moscas, q Telecom fue atacada no es novedad y fue confirmado por ellos, el caso de YPF no fue sujeto de este ataque.
BorrarTermino con algo, existen dos empresas, las que fueron atacadas y las que no saben que fueron atacadas, pero la información de este blog tiene que ser precisa, al igual que los comentarios, chau anónimo.
Lo de YPF circuló todo el fin de semana pero como no tenemos pruebas fehacientes, ese párrafo fue tachado. No se borra porque no corresponde.
ResponderBorrarOtras dos empresas de las que hay comentarios tampoco fueron nombradas por el mismo motivo.
También descartamos un banco.
Esto sucede por la falta de información: si las empresas informarian en tiempo y forma, no se propagarían comentarios que algunas veces son ciertos y otras simplemente se hacen para desprestigiar. Por ejemplo, hasta el momento no hay nada oficial de Telecom a sus clientes corporativos.
Desde Segu-Info siempre intentamos confirmar con 3 o 4 fuentes distintas antes de publicar o mencionar empresas por el daño qeu sabemos que podemos ocasionar.
Por eso por ej., no publicamos varios fakes que daban vuelta sobre Telecom o bancos.
Cristian
quien fue el pelotudo de TELECOM que abrio un mail con direccion tipo: rwgs$&[email protected]
ResponderBorraralguien sabe que plataforma de seguridad utiliza telecom?
ResponderBorrarLos RDP del punto 2 son de un dominio interno y no públicos como indicas.
ResponderBorrarSaludos.
Corregido, gracias
BorrarOtra empresa atacada, pero unos días antes, fue Prune, aunque mis fuentes me "sugieren" que fue un ataque interno tipo envenenamiento...
ResponderBorrarEmpresa Agrosuper (Chile) ha sido afectada por este Ransomware la última semana
ResponderBorrar