Dependencias, vulneradas con el ataque ‘Tortilla’

Dependencias de varios estados del país están siendo vulneradas desde hace varios meses, y muchos de ellas ni siquiera se han dado cuenta. Desde el pasado 21 de agosto, especialistas en temas de ciberseguridad le notificaron a la Secretaría de Seguridad del Estado de México que su servidor estaba comprometido por un ransomware que le estaba robado datos.

La dependencia informó ese mismo día vía Twitter que “ya se está trabajando en ello”. Sin embargo, a la fecha siguen empleando un servidor vulnerado junto con otro que se detectó en la misma Secretaría de Seguridad del Estado de Puebla, tal como lo informó el especialista Germán Fernández de la empresa CronUp.

México es una nación en que ataques cibernéticos pasan de largo, pues, al parecer, no hay una buena estrategia de control ni resiliencia frente a una vulneración cibernética, y prefieren hacerse de la vista gorda mientras nuestros datos y los del gobierno son robados y vendidos en la famosa Deep Web.

El nuevo ransomware llamado Babuk que se ejecuta a través de una ejecutable llamado Tortilla, se ha instalado en varios dispositivos del mundo a través de diversas campañas de ingeniería social, que están haciendo el caldo gordo a los especialistas de ciberseguridad, donde México, que no cuenta con grandes especialistas contratados por las autoridades estatales, se ha sumado a la lista de afectados.

Tortilla esta vulnerando servidores de Microsoft Exchange y violando las redes corporativas utilizando la vulnerabilidad ProxyShell para implementar el ransomware. El nombre Tortilla se basa en ejecutables maliciosos detectados en campañas con el nombre Tortilla.exe.

El ataque de ransomware Babuk comienza con una DLL o un ejecutable .NET que se coloca en el servidor de Exchange utilizando la vulnerabilidad ProxyShell. El proceso de trabajo de Exchange IIS w3wp.exe se ejecuta luego una carga útil maliciosa para insertar el comando de PowerShell afectado que presenta la omisión de protección de punto final, y eventualmente invoca una solicitud web para buscar un cargador útil llamado ‘tortilla.exe’. Un poco técnico, lo sé, pero un especialista del gobierno mexicano debería entender esto. Cuando Tortilla se ejecuta, se conecta a un sitio web en la red oscura que finalmente inyecta el ransomware que cifra el dispositivo con Babuk Ransomware.

Analistas de Cisco encontraron evidencia de explotación de vulnerabilidades de ProxyShell en la mayoría de las infecciones, sobre todo en el shell web China Chopper, y los datos de telemetría reflejan un amplio espectro de intentos de explotación en varios servidores, sobre todo, mexicanos.

Babuk Locker es una operación de ransomware lanzada a principios de 2021 cuando comenzó a apuntar a empresas y a cifrar sus datos en ataques de doble extorsión. Después de llevar a cabo un ataque contra el Departamento de Policía Metropolitana (MPD) de Washington, DC, y sentir el poder de resiliencia de las fuerzas del orden de EU, la banda de ransomware cerró su operación en ese país y comenzó otra estrategia en América Latina.

Después de que se filtrara el código fuente de la primera versión de Babuk, un constructor en foros de piratería lo puso a disposición en la Deep Web y otros actores de amenazas comenzaron a utilizar el ransomware para lanzar sus propios ataques.

Hoy las notas de rescates utilizadas en estos ataques solicitan 10 mil dólares en Monero (otra moneda virtual), y hasta se ha detectado que la operación original de Babuk ha exigido cantidades mayores en bitcoin.

Las autoridades mexicanas, quienes nunca alertan o dan a conocer estas vulneraciones, no han comentado nada al respecto sobre si les han solicitado algún rescate. Los investigadores de Talos, Cisco, notaron algunos ataques en Alemania, Tailandia, Brasil y Reino Unido, aunque la mayoría de los objetivos de Tortilla están basados ​​en Norteamérica.

La dirección IP del servidor de donde se descarga el ransomware se encuentra en Moscú, Rusia, lo que podría indicar el origen de estos ataques, pero no hay conclusiones de atribución en el informe de Cisco.

Además, el dominio “pastebin.pl” utilizado para la etapa de desempaquetado del código malicioso ha sido usado previamente por las campañas de distribución de AgentTesla y FormBook.

Si bien anteriormente se lanzó un descifrador para el ransomware Babuk, sólo puede descifrar a las víctimas cuyas claves privadas eran parte de la filtración del código fuente en la Deep Web. Por tanto, los actores de amenazas pueden continuar usando la cepa de ransomware Babuk para iniciar sus propias operaciones, como lo que estamos viendo con el actor de amenazas Tortilla.

clm