Robo de contraseñas al por mayor – Krebs on Protection


Las organizaciones en medio de la limpieza después de un brote de ransomware generalmente cambiarán las contraseñas de todas las cuentas de usuario que tengan acceso a cualquier sistema de correo electrónico, servidor y estación de trabajo de escritorio dentro de su purple. Pero con demasiada frecuencia, las víctimas de ransomware no se dan cuenta de que los delincuentes detrás de estos ataques pueden y con frecuencia desvían cada contraseña almacenada en cada punto ultimate infectado. El resultado de esta supervisión puede ofrecer a los atacantes un camino de regreso a la organización afectada, acceso a cuentas financieras y de atención médica o, peor aún, herramientas clave para atacar a los diversos socios comerciales y clientes de la víctima.

A mediados de noviembre de 2019, con sede en Wisconsin Virtual Treatment Provider Inc. (VCPI) fue golpeado por la cepa de ransomware Ryuk. VCPI administra los sistemas de TI para unos 110 clientes que atienden a aproximadamente 2,400 hogares de ancianos en 45 estados de EE. UU. VCPI se negó a pagar el rescate multimillonario exigido por sus extorsionistas, y el ataque cortó muchos de esos centros de atención a ancianos de sus registros de pacientes, correo electrónico y servicio telefónico durante días o semanas mientras VCPI reconstruía su purple.

Pocas horas después de que se publicó esa historia, el director ejecutivo y propietario de VCPI Karen Christianson extendió la mano para decir que esperaba que yo escribiera un artículo de seguimiento sobre cómo se recuperaron del incidente. Mi respuesta fue que consideraría hacerlo si hubiera algo en su experiencia que pensara que otros podrían aprender de su manejo del incidente.

No tenía ni plan de cuánto aprendería en los próximos días.

EERIE E-mail

El 3 de diciembre, contacté a Christianson para programar una entrevista de seguimiento para el día siguiente. En la mañana del 4 de diciembre (menos de dos horas antes de mi llamada programada con VCPI y más de dos semanas después del inicio de su ataque de ransomware) escuché por correo electrónico a alguien que afirmaba ser parte del grupo legal que lanzó el ransomware Ryuk dentro de VCPI.

Ese correo electrónico period inquietante porque su momento sugería que quien lo envió de alguna manera sabía que iba a hablar con VCPI ese mismo día. Esta persona dijo que quería que reiterara un mensaje que acababan de enviar al propietario de VCPI indicando que su oferta de un precio muy reducido para una clave electronic necesaria para desbloquear servidores y estaciones de trabajo incautadas por el malware caducaría pronto si la empresa continuaba para ignorarlos.

«Tal vez chatear con ellos para ver si eso funciona», sugirió el correo electrónico.

La persona anónima detrás de esa comunicación se negó a proporcionar pruebas de que formaban parte del grupo que tenía la purple de VPCI en busca de rescate, y después de un intercambio de mensajes cada vez más combativo y personalmente amenazante, pronto dejó de responder a las solicitudes de más información.

«Fuimos mordidos con la divulgación de evidencia antes, por lo tanto, hemos detenido esto incluso en nuestros rescates», escribió la persona anónima. “Si quieres pruebas, también hemos pirateado T-Programs. Puede confirmar esto con ellos. No hemos visto ningún artículo de los medios sobre esto y, como tal, usted debe ser el primero en informarlo, estamos seguros de que lo mantienen en secreto ”. Sitio de noticias de seguridad Bleeping Pc informó sobre el ataque del ransomware T-Systems Ryuk el 3 de diciembre.

En nuestra entrevista del 4 de diciembre, el jefe de seguridad de la información en funciones de VCPI: Mark Schafer, CISO en Wisconsin Consultoría SVA – confirmó que la compañía recibió un mensaje casi idéntico esa misma mañana, y que la redacción parecía «muy very similar» a la demanda de extorsión authentic que recibió la compañía.

Sin embargo, Schafer me aseguró que VCPI efectivamente había reconstruido su purple de correo electrónico después de la intrusión y estrictamente utilizó un servicio de terceros para discutir los esfuerzos de remediación y otros temas delicados.

«COMO UNA COMPAÑÍA QUE LUCHA EN UN PAÍS»

Christianson dijo que varios factores impidieron que el doloroso ataque del ransomware Ryuk se transformara en un evento que terminara la compañía. Para empezar, dijo, un empleado detectó actividad sospechosa en su red en las primeras horas de la mañana del sábado 16 de noviembre. Dijo que ese empleado alertó inmediatamente a los superiores dentro de VCPI, que ordenó un cierre completo e inmediato de toda la red. .

«El resultado final es a las 2 a.m. de un sábado, todavía era un ser humano que vio un montón de luces y tenía suficiente presencia psychological como para decir que alguien más querría echarle un vistazo», dijo. «El otro tipo al que llamó dijo que tampoco le gustaba y llamó al (director de información) a las 2:30 a.m., que levantó su teléfono celular y dijo que lo apagara de Online».

Schafer dijo que otro aspect atenuante fue que VCPI había contratado a un tercero aproximadamente seis meses antes del ataque para establecer copias de seguridad de datos fuera del sitio que no estaban directamente conectadas a la infraestructura de la compañía.

«La autenticación para eso estaba completamente separada, por lo que el movimiento lateral (de los intrusos) no les permitió tocar eso», dijo Schafer.

Schafer dijo que el cambio a copias de seguridad de datos de terceros coincidió con una revisión interna exhaustiva que identificó múltiples áreas donde VCPI podría fortalecer su seguridad, pero que el ataque golpeó antes de que la compañía pudiera completar el trabajo en algunos de esos elementos de acción.

«Hicimos una evaluación de riesgos que fue bastante acertada, solo necesitábamos más tiempo para trabajar en ella antes de ser golpeados», dijo. “Estábamos haciendo lo correcto, pero no lo suficientemente rápido. Si hubiéramos tenido más tiempo para prepararnos, habría sido mejor. Siento que somos una empresa que lucha contra un país. No es una pelea justa, y una vez que estás en la mira, es bastante difícil de defender «.

ROBO DE CONTRASEÑAS AL POR MAYOR

Justo después de recibir un consejo de un lector sobre la infestación de Ryuk en curso en VCPI, KrebsOnSecurity contactó a Milwaukee Mantener la seguridad para ver si su dueño Alex Holden tenía más información sobre el ataque. Holden y su equipo habían interceptado previamente el tráfico en línea entre varias pandillas de ransomware y sus víctimas, y tenía curiosidad por saber si eso también period cierto en el ataque VCPI.

Efectivamente, Holden envió rápidamente varios registros de datos sugiriendo que los atacantes habían violado la purple de VCPI en múltiples ocasiones durante los últimos 14 meses.

«Si bien está claro que la violación inicial ocurrió hace 14 meses, la escalada del compromiso no comenzó hasta alrededor del 15 de noviembre de este año», dijo Holden en ese momento. “Cuando miramos esto en retrospectiva, durante estos tres días, los ciberdelincuentes comprometieron lentamente toda la crimson, deshabilitaron el antivirus, ejecutaron scripts personalizados e implementaron ransomware. Al principio ni siquiera tuvieron éxito, pero siguieron intentándolo «.

Holden dijo que parece que los intrusos sentaron las bases para el VPCI usando Emotet, una poderosa herramienta de malware que generalmente se difunde por correo no deseado.

«Emotet sigue siendo uno de los programas maliciosos más costosos y destructivos», se lee en una alerta de julio de 2018 sobre el malware del Departamento de Seguridad Nacional de EE. UU.. «Sus características similares a las de los gusanos provocan una rápida propagación de infecciones en toda la red, que son difíciles de combatir».

Según Holden, después de usar Emotet para preparar los servidores y puntos finales de VCPI para el ataque de ransomware, los intrusos implementaron un módulo de Emotet llamado Trickbot, que es un troyano bancario que se usa a menudo para descargar otro malware y recolectar contraseñas de sistemas infectados.

De hecho, Holden compartió registros de comunicaciones de los verdugos de VCPI, sugiriendo que habían desatado a Trickbot para robar contraseñas de los puntos finales de VCPI infectados en los que la compañía solía iniciar sesión. más de 300 sitios web y servicios, incluyendo:

-Plataformas de gestión de identidad y contraseña Auth0 y LastPass
-Múltiples portales de banca particular y comercial
-Microsoft Place of work365 cuentas
-Deportes directos y portales de facturación de Medicaid
-Portales de gestión de seguros de salud basados ​​en la nube
-Numerosos servicios de procesamiento de pagos en línea
-Servicios de gestión de nómina basados ​​en la nube
-Servicios de gestión de recetas
– Servicios comerciales de telefonía, Net y energía.
-Servicios de suministros médicos.
-Portales de licitación competitiva del gobierno estatal y local
– Redes de distribución de contenido en línea.
-Cuentas de envío y franqueo
-Amazon, Fb, LinkedIn, Microsoft, cuentas de Twitter

Hacia el remaining de mi entrevista de seguimiento con Schafer y Christianson de VCPI, compartí la lista de sitios de Holden para los cuales los atacantes aparentemente habían robado las credenciales internas de la compañía. En ese momento, Christianson terminó abruptamente la entrevista y salió de la línea, diciendo que tenía asuntos personales que atender. Schafer me agradeció por compartir la lista y señaló que parecía que VCPI probablemente ahora tenía «algunas notificaciones más que hacer».

Moraleja de la historia: las empresas que experimentan un ataque de ransomware, o en realidad cualquier tipo de infestación de malware igualmente invasiva, debe suponer que todas las credenciales almacenadas en cualquier lugar de la purple area (incluidas las guardadas dentro de los navegadores world-wide-web y los administradores de contraseñas) están comprometidas y deben cambiarse.

Por precaución, este proceso debe realizarse desde un sistema prístino (preferiblemente no basado en Windows) que no reside dentro de la crimson comprometida por los atacantes. Además, se debe hacer un uso completo de El método más seguro disponible para proteger estas contraseñas con autenticación de múltiples factores.


Etiquetas: alex holden, Hold Stability, Karen Christianson, Mark Schafer, ransomware, Ryuk, SVA Consulting, VCPI

Esta entrada fue publicada el lunes 6 de enero de 2020 a las 1:17 pm y está archivada en A Little Sunshine, Ransomware, The Coming Storm.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el last y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia original