Como se ha informado en varios medios de prensa, el servicio de salud pública Health Service Excutive (HSE) sufrió un ciberataque ocasionando por el ransomware “CONTI”, este malware infecta la infraestructura cifrando documentos, bases de datos, entre otros archivos. De este modo el atacante solícita el pago para entregar la llave y poder ser recuperada la información.
El primer indicio del ataque, sucedió el pasado 13 de mayo donde el Departamento de Salud (DoH) de Irlanda, alerto al Centro Nacional de Seguridad Cibernética (NCSC) por una posible actividad sospechosa en la red. Las investigaciones preliminares apuntaron a CobaltStrike una herramienta de acceso remoto utilizada para moverse de forma lateral, ejecución de comandos, registro de claves, transferencia de archivos y descargador de otras amenazas como ransomware.
Se ha podido identificar gracias a otras investigaciones que la herramienta CobaltStrike es utilizada por varios actores de amenaza como, APT19, APT29, APT32, APT41, Anunak, Cobalt Group, CopyKittens, DarkHydrus, FIN6, Leviathan, Mustang Panda, UNC1878, UNC2452, Chimena, Wizard Spider.
El 14 de mayo, día siguiente de la alerta emitida por DoH, el Servicio de Salud Pública Health Service Excutive (HSE), informo al Centro Nacional de Seguridad Cibernética (NCSC), que se encontraban con un incidente informático, por la cual decidieron cerrar los sistemas de información de forma inmediata. Las primeras investigaciones correspondían al ransomware “CONTI”.
Este ransomware se observó por primera vez en diciembre 2019 y se distribuye a través de troyanos TricKbot, BazarLoader, IcedID. Como otras amenazas similares su objetivo es robar información, cifrar contenido y amanerar para que se pague el rescate.
Nuevamente el departamento de salud (DoH), detecto actividad maliciosa tipo ransomware el 14 de mayo, pero fue contenida gracias a la actividad realizada el 13 de mayo.
El jefe de gobierno irlandés Micheál Martin declaro que “Tenemos muy claro que no pagaremos ningún rescate”
NCSC en su informe, confirmo que se utilizó CobalStrike para moverse lateralmente antes de la ejecución del ransomware Conti, además existieron pasos posteriores como la utilización de la consola de Windows (WMIC.exe), la detección y enumeración de las redes interna de la institución, copia a través de archivos por lotes (.bat) malware a los endpoint y utilizo la herramienta pesexec.exe para poder controlar remotamente equipos a través de línea de comandos. Al momento de la ejecución del ransomware los archivos son cifrados y renombrados con la extensión”.FEEDC”. Las únicas excepciones fueron los archivos
– CONTI_LOG.txt
– readme.txt
– *.FEEDC
– *.msi
– *.sys
– *.lnk
– *.dll
– *.exe
Indicadores de compromisos relacionados con este incidente.
| Indicador | SHA256 |
| Conti | d21c71a090cd6759efc1f258b4d087e82c281ce65a9d76f20a24857901e694fc |
| Cobalt Strike | 234e4df3d9304136224f2a6c37cb6b5f6d8336c4e105afce857832015e97f27a |
| Cobalt Strike | 1429190cf3b36dae7e439b4314fe160e435ea42c0f3e6f45f8a0a33e1e12258f |
| Cobalt Strike | 8837868b6279df6a700b3931c31e4542a47f7476f50484bdf907450a8d8e9408 |
| Cobalt Strike | a390038e21cbf92c36987041511dcd8dcfe836ebbabee733349e0b17af9ad4eb |
| Cobalt Strike | d4a1cd9de04334e989418b75f64fb2cfbacaa5b650197432ca277132677308ce |
| Lazagne | 5a2e947aace9e081ecd2cfa7bc2e485528238555c7eeb6bcca560576d4750a50 |
Remediaciones realizadas y entregadas por los especialistas del Centro Nacional de Seguridad Cibernética
Contener
- Aislar controladores de dominio
- Bloquear la salida a Internet
- Cree VLAN limpias para operaciones de reconstrucción y recuperación.
- Bloquear direcciones IP y nombres de dominio maliciosos
- Proteja las cuentas privilegiadas
- Endurezca los puntos finales
Erradicar
- Limpie, reconstruya y actualice todos los dispositivos infectados.
- Asegúrese de que el antivirus esté actualizado en todos los sistemas.
- Asegúrese de que todos los dispositivos de hardware estén parcheados y actualizados.
- Utilice sus copias de seguridad externas para restaurar sistemas; antes de la restauración, tome las medidas necesarias para asegúrese de que sus copias de seguridad no estén expuestas a malware.
Recuperar
- Restaurar puntos finales.
- Vuelva a crear imágenes de los dispositivos si es necesario.
- Restablezca las credenciales.
- Vuelva a integrar los sistemas en cuarentena.
- Restaurar servicios.
