Canal de Telegram

14 sept 2023

Segu-Info » , » Activan protocolos de emergencias por ransomware al proveedor IFX NETWORKS (Actualizado!)

Activan protocolos de emergencias por ransomware al proveedor IFX NETWORKS (Actualizado!)

14 sept 2023, 7:41:00 p.m.   2 comentarios
  ,  

El miércoles 13 de septiembre entidades públicas y empresas colombianas, chilenas y argentinas, amanecieron con una terrible noticia, habían sido víctimas de un ciberataque, debido a que la multinacional IFX Networks que contrataron fue vulnerada y de esta forma sus clientes se vieron afectados.

Este jueves es el segundo día de operaciones del Mando Unificado Ciber del Gobierno de Colombia para atender las consecuencias del ataque cibernético que sufrió IFX, según un comunicado del Ministerio de Tecnologías de la Información.

La compañía IFX Networks (Netglobalis en Chile) es proveedora de soluciones de telecomunicaciones, con presencia en 17 países y principal proveedora de telecomunicaciones en Colombia. CNN solicitó a la empresa un comentario para saber cuáles han sido los avances que han tenido desde el ataque, pero no recibieron respuesta.

Un ataque a infraestructuras críticas de Estado puede afectar la vida diaria de millones de personas que necesitan acceso urgente a servicios de salud y de justicia. Algunos de los portales afectados son la Superintendencia de Salud y el Consejo Superior de la Judicatura, que decidió suspender operaciones y trámites judiciales en todo el país desde este jueves hasta el miércoles de la semana próxima.

No solo grandes entidades del Estado están siendo afectadas por esta situación. Pequeñas empresas que funcionan gracias a software que funciona en la nube tienen sus operaciones paradas por cuenta del incidente con IFX Network.

El ministro del Ministerio de Tecnologías de la Información y Comunicaciones de Colombia, Mauricio Lizcano anunció el miércoles en X -antes Twitter- que son más de 800 las organizaciones afectadas por este ataque, no solo en Colombia, sino también en Chile y Argentina, sin detallar el número de portales de gobierno y privados colombianos afectados. >Asimismo, la empresa manifestó́ que "tiene contratos con 46 entidades públicas; 25 tienen servicios de conectividad y 21 tienen servicios de data center (nube)".

El ataque corresponde a un ransomware en donde no solo atacaron IFX Networks en Colombia, con el cual secuestraron los datos que tenía IFX Networks en sus servidores, en nubes y esto ha afectado empresas y entidades importantes de varios países. El acceso a la justicia está comprometido pero quizás el tema más grave tiene que ver con acceso a servicios de salud a través de la Superintendencia de Salud.

¿Qué pasó?

Como IFX es un proveedor internacional de servicios gestionados, otros clientes podrían ser víctima de nuevos ataques en consecuencia de este incidente, lo que se conoce también como, Ataque a la Cadena de Suministro (Supply Chain Attack).

Si bien aún no es posible confirmar los autores de este ataque ya que falta evidencia concluyente, se ataque parecería estar relacionado al Ransomware del grupo autodenominado "RansomHouse", aunque diversos medios lo han bautizado "MARIO" por la siguiente imagen.

La imagen circula en diferentes chats privados esta captura que demostraría que los autores del ataque son el grupo mencionado y conocidos también por ser los autores del ataque a Sanitas.

Ante la falta de información oficial, desde diversos medios han procedido a crear una lista de sitios afectados y su estado de situación.

Se cree que RansomHouse se lanzó en diciembre de 2021 con su primera víctima, supuestamente la Autoridad de Juegos y Licores de Saskatchewan (SLGA), que ahora figura en el sitio de extorsión. Los ataques han continuado desde entonces, y en ciertos casos los afectados han sido empresas como AMD, de la que se robaron 450 GB de datos. Recientemente se hizo conocido luego de un ataque a gran escala a un hospital Clinic de Barcelona, que se vió obligado a desprogramar 150 operaciones por el ciberataque.

En aquella ocasión BleepingComputer logró contactar con los miembros de RansomHouse, que explicaron que ni siquiera habían intentado contactar con AMD porque "lo consideramos una pérdida de tiempo: será más valioso vender los datos que esperar a que los responsables de AMD reaccionen con toda la burocracia que eso implica".

En un informe publicado por Cyberint, los analistas encontraron publicaciones de Telegram promocionando RansomHouse en el canal de Telegram de Lapsus$. Esto indica que los actores de amenazas están igualmente interesados en vender datos a otros actores de amenazas, así como a la víctima.

Mientras, en su sitio web en la Dark Web RansomHouse se autodefine como "una comunidad de mediadores profesionales", la actividad de este grupo, es algo distinta a la de otros de este estilo: según esa actividad RansomHouse no es una actividad independiente, sino que emerge dentro de otros grupos de ciberatacantes. El informe de mayo de 2022 revelaba que este grupo podría estar formado por expertos en ciberseguridad cansados de intentar obtener recompensas por detectar fallos de seguridad en empresas y entidades.

Los responsables de RansomHouse añaden que las empresas afectadas que se niegan a pagar por este tipo de trabajo "tendrán que hacer frente a costes legales y de reputación". Afirman que en esos casos no solo divulgarán la información en su sitio web o canal oficial de Telegram, "sino que también llamaremos la atención de periodistas, público y terceros sobre el problema y haremos todo lo necesario para que el incidente sea lo más público posible".

Si bien no se ha confirmado, el vector inicial de la infección habrían sido correo con archivos adjuntos en formato comprimido (ZIP, RAR, ACE, GZ, etc) y habrían provenido desde diferentes locaciones de proveedores internacionales.

Los CSIRT de los países afectados han publicado información y la siguiente infografía sobre el ataque y el vector de compromiso ¿01 de septiembre?

El grupo aún no ha publicado en su sitio web "oficialmente" el nombre de la víctima IFX pero es porque suelen disponibilizar los datos robados a través de Torrent y nuevos dominios en la Darknet. Es decir que es de esperar que lo hagan en los próximos días y el impacto actual podría ser mucho mayor del esperado.

Actualización 14/09

Estos son los hashes SHA-256 de los archivos adjuntos en los correos electrónicos que se han visto in-the-wild y que se pueden usar como IoC, si bien seguramente estén cambiando continuamente.

En este momento hay información falsa y/o antigua que atribuye ciertos IoC (hashes, IPs, etc.) a este ataque pero que NO corresponden al mismo. Por ejemplo, el hash 02fab97fe... o 0cbb6c8b7b... corresponden a una campaña de malware de mayo de 2021.

Si tienes información real y fidedigna, puedes compartirla con nosotros.

Actualización 15/09

Escribe Ciberseguridad Latam "Una de las cuestiones más inquietantes es la falta de información detallada proporcionada por IFX Networks sobre el ataque cibernético. A pesar de la gravedad del incidente y su impacto en múltiples países, la compañía ha optado por mantener un silencio que solo ha servido para alimentar la especulación y la ansiedad de sus clientes... En un momento en que la ciberseguridad es de vital importancia y los ciberataques están en constante evolución, la transparencia de las empresas que gestionan infraestructuras críticas es esencial.

Actualización 16/09

El proveedor se está comunicando con los clientes e informando lo siguiente:

Sin dudas esta información es absolutamente parcial e incontrastable pero, evidentemente la empresa se arriesga a decir que nada pasará con los datos de sus clientes. Y, ¿si pasa?

En el texto, publicado en la página web de la empresa, afirman que no hay ninguna evidencia de que haya fuga de datos, ni tampoco de que estos hayan sido publicados en la web oscura (dark web) y recalcan que si en algún momento el escenario cambia se le notificará a sus clientes de manera oportuna.

De todas formas, ¿Qué espera la empresa para hacer público lo ocurrido y dar explicaciones claras a cientos de clientes que continúan incomunicados perdiendo millones de dólares en el proceso?

IFX siguen sin informar al Gobierno ni a nadie la cantidad exacta de organizaciones afectadas, el alcance del ataque y su impacto, el tipo de ransomware utilizado, ni detalles de lo ocurrido.

Actualización 18/09

IFX finalmente comunica de forma oficial lo sucedido:

Con el propósito de que el público en general esté correctamente informado sobre el ataque de Ransomware ocurrido, comunicamos lo siguiente: Actualizaciones de estado | FAQ

La combinación de una técnica de scrapping (extracción de información de sitios web) junto al desarrollo de un script automatizado de MundoHacker permite concluir que de 19.301 sitios web alojados en parte de Infraestructura IFX Networks 14.902 están sin servicio casi ocho días después de conocerse el ataque de ransomware.

Actualización 22/09

Finalmente los CSIRT de Colombia y Chile han publicado los IoC relacionados al ataque y un análisis del comportamiento del ransomware [PDF].

El software malicioso denominado MarioLocker que afecto a IFX, se instala y a través de las TTP’s ya descritas, descarga un payload de tipo Ransomware, el cual al ejecutarse usa la dirección MAC e IP del equipo para la generación de la clave de cifrado de los volúmenes virtuales (ESXi).

Se supone que los atacantes aprovecharon una vulnerabilidad conocida en el servicio OpenSLP (CVE-2021-21974) para luego dirigir el ataque en los servidores VMware ESXi. El malware tiene unas variables de ejecución estrictas, para asegurar su funcionamiento en hipervisores ESXI de VMWare, además de contar con ofuscación de tipo hexadecimal. Las muestras halladas guardan gran similitud con el código fuente del ransomware Babuk.

Por eso se recomienda actualizar a la brevedad CVE-2021-21972, CVE-2021-21973, CVE-2021-21974, de acuerdo al informe oficial de VMWare VMSA-2021-0002.

De acuerdo a Germán Fernández (aka @1ZRR4H) RansomHouse cifró aproximadamente 330 servidores de la red de IFX Networks y estos equipos entregaban servicios a 9 países distintos.

  1. Colombia 193
  2. Miami 41
  3. Argentina 36
  4. Panamá 28
  5. Honduras 13
  6. Chile 8
  7. Perú 6
  8. Guatemala 3
  9. México 2

Hashes

  • 8189c708706eb7302d7598aeee8cd6bdb048bf1a6dbe29c59e50f0a39fd53973
  • b518be7a044c8248a97cdbf8fabcaf36cfd4c0e7d1fe197e2c367c94d38965f4
  • bfc9b956818efe008c2dbf621244b6dc3de8319e89b9fa83c9e412ce70f82f2c
  • f059441faa1da0529c87586572c41c57465cc97f2d6d2e1d0aa91ee080aebada
  • f7600b701815faeadfa063a8b45cda2746465f0d395cdcfc8c300593ff8aa0e6
  • db55383b6521a152492a5767009ad308ac46bc6cfc10e9f3bfee78110e33fdd5
  • 1ee95fc46f676b5a38ed77c997ff88224a302247e448329c6248e3d2a7f6bedd
  • 58c20b0602b2e0e6822d415b5e8b53c348727d8e145b1c096a6e46812c0f0cbc - log.dll - Ransomware DLL
  • 5822b7c0b07385299ce72788fd058ccadc5ba926e6e9d73e297c1320feebe33f - TmDbgLog.dll - Ransomware DLL
  • 43a3fd549edbdf0acc6f00e5ceaa54c086ef048593bfbb9a5793f52a7cc57d1c - u.exe - Vector de ejecución (TrendMicro AirSupport)
  • 3476f0e0a4bd9f438761d9111bccff7a7d71afdc310f225bfebfb223e58731e6 - d.exe- Vector de ejecución (BitDefender Update Downloader)

IP - C2C Relacionadas

  • 20.99.184[.]37
  • 192.229.211[.]108
  • 104-168-132-128.nip[.]io

Actualización 26/09

Expertos del CSIRT de Chile prepararon este Informe de Inteligencia de Amenazas (y II), donde detallan lo que se sabe del ransomware que afectó a #IFX durante septiembre de 2023. ¡Gran trabajo!

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

2 comentarios:

  1. Anónimo15 de septiembre de 2023, 11:00 a.m.

    pero un ataque a la cadena de suministro no seria, si se enfoca en otra entidad creo que aun es muy temprano para determinar esto.

    ResponderBorrar
  2. Anónimo29 de septiembre de 2023, 8:48 a.m.

    Las IP 192.229.211.108 (Edgecast Inc) y 23.216.147.76 (Akamai Technologies, Inc) son una red de distribución de contenido (CDN) utilizada por Microsoft. Sera un envenenamiento de dns, o algun ataque en la cache de dichos servidores?

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!