Ciberataque «Venta de Liquidación» golpea toda la industria en todo el estado de Ucrania

¡Hola! Puede que no me conozcas, pero para ser breve, mencionemos que me dedico a la ciberforense, investigaciones y concienciación sobre seguridad desde hace más de 25 años. Hace unas semanas me llamaron para hacer un análisis forense para un cliente (hablaban de un misterio alrededor de acciones y reacciones extrañas del sistema). Tras un análisis más detallado con ambos equipos, vieron infecciones que parecían utilizar el Active Directory para propagarse rápidamente en la red y asumimos que era un ataque dirigido. Lo que no sabíamos era que la fase 1 de lo que todos creíamos que era una ficción o un guion genial de la película Duro de Matar 4.0 en 2007 se había vuelto real (no se puede inventar esto…). Lo llamaron Fire Sale, un ciberataque contra un país entero (hola guerra híbrida y guerra cibernética), este ataque finalmente llevó a un colapso de todos los controles informáticos, provocando una caída de la economía y otras malas consecuencias (como desaparecer toda una industria…). ¿Qué tan real es realizar un ataque de este tipo? Bueno, uno de los líderes de la industria anti-malware, Eugene Kaspersky puede haber predicho el futuro aproximadamente hace 1,5 años. Pero vayamos a los hechos por un momento: era un domingo normal cuando uno de los analistas de seguridad de la industria de los medios me llamó a una conferencia con otra empresa de la que soy parte del consejo. No es que me sorprendiera que estuvieran trabajando a mitad del domingo (como yo, así que no pregunten), sino los hechos que eran realmente interesantes y aterradores: toda la industria de los medios y los canales de TV estaban informando simultáneamente estar bajo un ciberataque desconocido que interrumpía las operaciones informáticas y actuaba de una manera muy impredecible. El ataque comenzó el domingo 25 de octubre^th, justo cuando se estaban llevando a cabo elecciones estatales en Ucrania (¿coincidencia?). Mientras varios grupos hacktivistas intentaron adjudicarse el ataque, no hay suficiente evidencia (concluyente) para identificarlo con una parte específica; dejamos que los “servicios especiales” y los políticos descubran eso.

Como mencioné, el ataque fue una infección encubierta de varias etapas de la infraestructura de una empresa que atacaba un objetivo tras otro, haciendo que las computadoras se reiniciaran y se volvieran ininiciables. En esta etapa, dos cosas parecían obvias: estábamos lidiando con un ciberataque dirigido, quizás con motivos políticos y dirigido a la interrupción de toda una industria. Sin embargo, la investigación ha sacado a la luz una gran cantidad de detalles que desafían la declaración inicial…

Síntomas del ataque e impresión inicial

Mientras esperamos alguna verificación de los resultados oficiales con algunas agencias de tres letras con las que estamos trabajando, así como ingenieros dedicados a la ingeniería inversa de malware y seguridad forense, y se realizará una divulgación completa por parte de un CERT local, compartiré cómo se veían las cosas desde las líneas del frente.

Los objetivos eran múltiples plataformas Microsoft Windows, sin dependencias de versión o función, incluidos los Controladores de Dominio de Active Directory, escritorios, estaciones de trabajo de edición de video, computadoras de contabilidad, etc.

El comportamiento observable típico de los activos infectados era un cierre inesperado del sistema operativo tras lo cual el sistema se volvía ininiciable: faltaba el MBR (me pregunto por qué…). Un segundo síntoma era un llenado al 100% de la partición del sistema, lo que, como sabemos, hace que el sistema se comporte de manera anormal y según la recomendación de Microsoft “Pide contactar a un Administrador del Sistema”. Desde la perspectiva del equipo interno de seguridad, parecía que las máquinas de Windows aleatorias se bloqueaban completamente sin razones o relaciones obvias. Un tercer síntoma, no menos importante, era que todos los colegas de la misma industria se llamaban entre sí y reportaban esos mismos primeros dos síntomas…

Algunas cosas eran claras para mí en este punto:

• Era un ataque dirigido, cuidadosamente planificado y orquestado mucho antes de la fecha en que realmente se puso en marcha.
• Esto no es una explotación de vulnerabilidad de día cero. El ataque es de múltiples etapas, involucrando ya sea ingeniería social e infiltrados o un sistema de armamento, entrega y control modular, multi-capa y sincronizado, un saludo al modelo de Cyber Kill Chain 😉
• El momento del ataque no es aleatorio: ocurrió exactamente el día de las elecciones estatales locales, dirigido ya sea a interrumpir la cobertura mediática de las elecciones (lo cual nunca sucedió) o la fecha se usó como un señuelo para distraer del propósito principal del ataque. Esto también podría ser una presentación grandiosa de las capacidades de una nueva arma cibernética a escala nacional.

Recomendé a mis colegas que se prepararan, dejaran de lado cualquier duda y se centraran en 2 cosas: reducción de daños colaterales y máxima recolección de evidencia. Intentamos obtener todo lo que pudiéramos: PCAP’s, instantáneas, capturas de pantalla, registros de Windows, alertas de SIEM e IPS, volcados de memoria y, por supuesto, muestras de malware. Obviamente, los antivirus tradicionales y otros sistemas de defensa activa estaban en silencio. Durante las primeras 24 horas del ataque, pudimos obtener un virus llamado “ololo.exe” y lo subimos a VirusTotal, solo para descubrir que ni un solo antivirus conocía este malware. Para ser continuado con los resultados del análisis inverso de malware y los resultados de la investigación inicial…

Resultados de la investigación inicial y análisis inverso del malware de Fire Sale en Ucrania >>