6 may. 2021

Phirautee: PoC de ransomware para poner a prueba la organización

En los últimos años, el mundo del ransomware se ha vuelto un poco loco y las organizaciones de todo el mundo están siendo atacadas, lo que provoca daños e interrupciones. Como todos sabemos, el panorama de las amenazas está cambiando rápidamente y escuchamos frecuentemente el alboroto sobre la infección de ransomware en las oficinas o leemos sobre ello en las noticias. ¿Alguna vez te has preguntado cómo los Threat Actors desarrollan ransomwares? ¿Qué nivel de sofisticación y comprensión se requiere para atacar a una organización?

ViralManiar presentó en la conferencia DEF CON 28 Safe Mode Phirautee, un ransomware a modo de prueba de concepto que nos ayudará a difundir y mejorar la conciencia de nuestros usuarios sobre los ataques y las implicaciones del ransomware. Esta herramienta roba la información y mantiene los datos de una organización retenidos para pagos o los cifra/borra permanentemente.

Características

  • Phirautee está escrito exclusivamente con PowerShell y no requiere librerías de terceros.
  • La herramienta utiliza comandos Living off the Land (LotL) y criptografía de clave pública para cifrar los datos en el disco y filtrar archivos grandes a través de Google Drive.
  • Antes de cifrar, extrae los archivos de la red de la víctima y, una vez que los archivos están cifrados y exfiltrados, los archivos originales se eliminan permanentemente del host para finalmente exigir un rescate.
  • El ransom solicita un pago de 0.10 BTC (~ 1k USD).

Detección

  • La extensión de archivo de los archivos cifrados se cambia a ".phirautee"
  • El fondo de escritorio del host comprometido se cambia con el fondo Phirautee
  • El escritorio tendrá el archivo Phirautee.txt

Estrategias de mitigación

  • Segmentación de la red y detección de movimiento lateral. Seguir el principio de acceso con privilegios mínimos o restringir el acceso a servidores confidenciales. Utilizar MFA en todos los portales importantes.
  • Deshabilitar PowerShell para usuarios de dominio estándar y realizar listas blancas de aplicaciones.
  • Copias de seguridad frecuentes en toda la red (si es posible sin conexión).
  • Aplicar parches y tener un programa de gestión de vulnerabilidades.
  • Tener un equipo de respuesta a incidentes dedicado y desarrollar un plan para eventos de ransomware.
  • Invertir en un buen producto IDS/IPS/EDR/AV/CASB.
  • Validar la efectividad de sus herramientas y tecnologías de defensa a través de ejercicios ofensivos preaprobados.
  • Organizar sesiones de formación sobre phishing y educación de usuarios para sus empleados.
  • Tener un seguro ciber para ayudar a cubrir los costes en caso de que deba pagar el rescate. Además, revisar las pólizas de seguro para asegurarse de que no haya agujeros.
  • Obtener ayuda de los feds locales para las claves de descifrado.

Fuente: HackPlayers | SpeakerDeck

Suscríbete a nuestro Boletín

2 comentarios:

  1. Cristian, tenés referencias de seguros ciber para empresas locales que ante un incidente hayan pagado?, experiencias argentinas.

    ResponderBorrar
  2. Si, conozco varios, ninguno publicable :)

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!