Una guía de CISO sobre el impacto de seguridad por los ataques en Ucrania.

Una guía de CISO sobre el impacto de seguridad por los ataques en Ucrania.

La situación en Ucrania presenta muchos desafíos humanitarios y de seguridad. Estamos obteniendo una visión más clara de una nueva forma de guerra híbrida sobre la que anteriormente solo habíamos teorizado. Nuestro principal socio SentinelOne, proporciona todos los recursos técnicos que tienen a su disposición para apoyar a las organizaciones.

Hasta la fecha, hemos visto a los atacantes utilizar tres tácticas principales: ataques de denegación de servicio distribuido (DDoS), desfiguración de sitios web y borradores maliciosos. Si bien las técnicas pueden considerarse simples en un alto nivel, en conjunto presentan una fuerza desestabilizadora al limitar la disponibilidad de información y servicios oficiales, ya sea de manera temporal o permanente.

Ataques de denegación de servicio

En las primeras etapas de la invasión, los sitios web gubernamentales pertenecientes a Ucrania fueron desconectados por ataques DDOS. Específicamente, los sitios web del Ministerio de Relaciones Exteriores, el Ministerio de Defensa, el Ministerio del Interior y el Servicio de Seguridad de Ucrania observaron una interrupción del servicio. Además, el sector financiero en Ucrania también experimentó una interrupción del servicio. El gobierno del Reino Unido atribuyó los hechos al GRU ruso.

"HermeticWiper" | Sistemas paralizantes en Ucrania

El miércoles 23 de febrero, mientras se desarrollaba la invasión física de Ucrania, los investigadores descubrieron que las organizaciones ucranianas estaban siendo atacadas con un malware denominado HermeticWiper en referencia al certificado digital utilizado para firmar la muestra.

HermeticWiper parece ser una aplicación personalizada con muy pocas funciones estándar. Aprovecha el controlador benigno de EaseUS para acceder a las unidades físicas directamente y obtener información de la partición.

El malware se enfoca en corromper los primeros 512 bytes, el Master Boot Record (MBR), de cada unidad física. Si bien eso debería ser suficiente para que un dispositivo no vuelva a arrancar, HermeticWiper procede a enumerar y corromper las particiones de todas las unidades posibles, también puede diferenciar entre particiones FAT y NTFS y actuar en consecuencia para causar el mayor daño. HermeticWiper eventualmente inicia un apagado del sistema, finalizando el efecto devastador del malware.

HermeticWiper es una herramienta de 'disparar y olvidar'. No tiene capacidades de comando y control ni de auto-propagación. Los atacantes necesitan establecer acceso para desplegar el limpiador. En casos anteriores, lo han hecho a través de GPO, estableciendo una tarea programada para ejecutar el limpiador y el ransomware señuelo.

HermeticWiper es mucho más completo, mejor desarrollado y eficiente que WhisperGate , un limpiador implementado en Ucrania en enero con una distribución muy limitada. Nuestra evaluación en este momento trata a las dos como amenazas separadas, probablemente creadas por desarrolladores separados.

Ransomware PartyTicket

PartyTicket es el nombre que SentinelLabs le ha dado al componente de ransomware señuelo de los ataques originales de HermeticWiper. Se observó que este malware se entregaba a los objetivos junto con HermeticWiper y se cree que se usa como una distracción mientras se limpian los dispositivos.

El ransomware es una aplicación personalizada de Golang que interrumpe los servicios y distrae a los defensores. PartyTicket es increíblemente ruidoso y genera cientos de subprocesos auxiliares, lo que probablemente resulte en una denegación de servicio local inadvertida. El código personalizado del programa está lleno de referencias burlonas al gobierno de EE. UU. y la administración Biden.

Recomendaciones para CISO y CIO

A medida que evoluciona la situación, los equipos de SentinelOne y SentinelLabs continúan brindando apoyo a quienes lo necesitan compartiendo investigaciones, recomendaciones, indicadores y herramientas para mantenerse al tanto del panorama de amenazas en evolución.

Si bien las amenazas se han contenido en gran medida para Ucrania (con algunos efectos indirectos en los países vecinos), las crecientes tensiones geopolíticas y las sanciones probablemente incentivarán los ataques hacia el resto del mundo. 

De acuerdo con el aviso reciente de CISA , hacemos un llamado a las organizaciones a adoptar una postura de seguridad reforzada y a tomar medidas proactivas que incluyen:

  • Asegúrese de que todas las redes y puntos finales estén protegidos por una solución de seguridad avanzada que pueda prevenir, detectar y responder a ataques conocidos y nuevos, así como revertir dispositivos en caso de un ataque.
  • Asegúrese de que sus equipos de TI y SOC estén actualizados con la inteligencia de amenazas más reciente en torno a los ataques cibernéticos en Ucrania.
  • Mantengase alerta ante los avisos gubernamentales.
  • Designe un equipo de respuesta a crisis con puntos de contacto actualizados para un incidente de ciberseguridad.
  • Verifique que tiene seguro cibernético, comprenda su cobertura y sepa cómo activar los servicios de respuesta a incidentes.
  • Realice un simulacro de incendio para asegurarse de que todos entiendan las funciones y responsabilidades, y qué medidas se deben tomar y cuándo.
  • Planifique para el peor de los casos y asegúrese de contar con un plan de continuidad de negocios.

Conclusión

Si bien el ciberespacio se ha convertido en una parte integral de nuestras vidas digitales, también se ha convertido en un aspecto clave de los conflictos geopolíticos. A medida que se dispone de más capacidades ofensivas, los gobiernos las utilizan para la vigilancia y la desinformación. 

En medio de una guerra física, la cibernética se ha convertido en un arma indispensable para paralizar los sistemas de defensa, crear caos y desmoralizar a una población bajo coacción.

El objetivo de Never Off Tecgnology es mantener seguros a nuestros clientes mientras compartimos la experiencia con aquellos que lo necesitan.

Si su empresa, sus dispositivos y redes pueden verse afectados por la crisis actual, estamos aquí para ayudarlo.

 

 

 

No Comments

Post A Comment

× Contáctanos