La empresa Cencosud, una de las naves insignias de América Latina fue virtualmente destrozada por el virus Egregor manejado por un grupo de hackers.
En la información que comenzó a filtrarse después del ataque de Egregor, se comenta que los cibercriminales piden millones de dólares de rescate, se estima que más del 75% del total de los sistemas están paralizados.
La nota recibida en Cencosud es similar a esta:
Hace aproximadamente el CERT de India lanzó una alerta global sobre el virus Egregor, la noticia fue difundida por múltiples medios de comunicación internacionales.
En la misma se informaba de que un nuevo ransomware, llamado Egregor, estaba afectando organizaciones a nivel mundial.
El modus operandi utilizado suele irrumpir en organizaciones, robando datos confidenciales y ejecutando el malware para cifrar sus archivos y amenaza con la divulgación de datos corporativos por “medios masivos” si el rescate no se paga a su debido tiempo hora.
Utiliza tácticas de doble extorsión generalmente utilizadas por las familias de NetWalker ransomware.
Cadena de 10 errores de Cencosud con Egregor
1.- COMPRENDER EL CONTEXTO
No informarse acerca de lo que está sucediendo en el contexto global, y no consultar a los principales CERTs del mundo, es quizás un pecado de inocencia temerario para cualquier CISO que se considere un profesional comprometido con su trabajo. India, Israel, Estados Unidos, Rusia y la Unión Europea, son la menos los principales centros de desarrollo mundial, y es necesarios conocer lo que ocurre para estar preparado.
Leer en Internet, no tiene un gran costo, por lo cual la falta de inversión en seguridad no debería ser la excusa.
2.- CAPACITACIÓN
El vector de infección inicial y el mecanismo de propagación aún se desconocen, se anticipa que Egregor ransomware puede infiltrarse a través de archivos adjuntos de correo electrónico no deseado o maliciosamente por medio de un enlace diseñado compartido por correo electrónico / chats de mensajería instantánea.
Utiliza varios tipos de técnicas anti-análisis, incluida la ofuscación de código y cargas útiles empaquetadas, lo que significa que el código malicioso se “descomprime” en la memoria como un forma de evitar la detección por herramientas de seguridad.
El ransomware no se exhibirá es funcionalidades mientras lo analiza hasta que si exactamente la misma línea de comando que el o los atacantes solían ejecutar el ransomware.
Esto dificulta al analista analizar muestras manualmente o en un entorno sandbox.
No prevenir al personal sobre la existencia de este tipo de ataque y realizar entrenamientos enfocados, resulta infinitamente más barato que pagar y aún así filtren los datos de millones de clientes de Argentina.
3.- FALTA DE UN EQUIPO ESPECIALIZADO DE RESPUESTA A INCIDENTES
En toda empresa que realiza negocios en los volúmenes que la empresa Cencosud realiza, es necesario contar con un equipo de reacción rápida para incidentes, al entrar en la página global del grupo, vemos que el último comunicado de prensa es de Agosto de 2020, y no se ha publicado aún ningún comunicado para aportar claridad frente a la tremenda brecha de seguridad, y obviamente la página de Argentina está fuera de línea.
4.- NO UTILIZAR POLÍTICAS DE DOMAIN KEYS IDENTIFIED MAIL
La diversidad comercial de una compañía como Cencosud requiere el uso de políticas de Domain Keys Identified Mail en un marco de control del remitente (SPF) para su dominio, que es un sistema de validación de correo electrónico diseñado para evitar spam detectando la suplantación de correo electrónico mediante la cual la mayoría de las muestras de ransomware llega con éxito a las casillas de correo electrónico corporativas.
No hablo de la NASA, algo básico y de sentido común, ya pasaron 20 años del siglo 21, estos temas no deberían ni tener debate en un Directorio de una empresa seria.
5.- MICRO-SEGMENTACIÓN DE LA RED, BIEN GRACIAS
Este es el momento de llamar al CTO de Cencosud y pedirle que comience a comentar en qué pensaba cuando diseñó la infraestructura de la compañía. Quizás el no pensar en la micro segmentación es uno de los errores que más agradecen los cibercriminales.
Los rumores a esta hora indican que fueron afectados entre el 75% y 80% de los sistemas de la compañía.
Si mal no recuerdo, página 1 párrafo 2 del manual básico de infraestructura refiere al tema.
6.- POLÍTICAS DE LISTAS BLANCAS DE APLICACIONES
Contar con una lista blanca de aplicaciones, es básico: La implementación estricta de políticas de restricción de software (SRP) para bloquear binarios que se ejecutan desde las rutas% APPDATA% y% TEMP%.
7.- PROTOCOLO DE AUTENTICACIÓN EN LA RED
Es necesario usar un protocolo de autenticación sólido, como la autenticación de nivel de red (NLA) en Windows.
Las medidas de seguridad adicionales que yo podría considerar es usar un RDP Gateway, para mejorar la gestión, sos CENCOSUD.
8.- FALTA DE HERRAMIENTAS DE ENHANCED MITIGATION EXPERIENCE
El ataque de Egregor a Cencosud deja la descubierto la total y absoluta ausencia de herramientas de Enhanced Mitigation Experience Toolkit o un nivel de host similar herramientas anti-explotación.
9.- IRRESPONSABILIDAD EN LA CADENA DE CUSTODIA DE LA INFORMACIÓN
Frente a un ataque temerario de esta magnitud como fue Egregor, seguir operando y tomando pagos con tarjeta de crédito y débito y no informar debidamente a los clientes que van a una sucursal a realizar su compra para que pueda evaluar su propio riesgo, es una muestra clara de desprecio por la seguridad de sus clientes.
La foto adjunta muestra el cartel que hoy se veía en la puerta de los supermercados, me pregunto si quien tomó la decisión, tuvo en cuenta que si en medio del ataque, los cibercriminales pudieron colar un vector del tipo Black POS en las puntas de caja.
10.- FALTA DE CULTURA DE SEGURIDAD
Imagínese estimado lector que a pocas horas del ataque ya tengo en mi poder 3 de las IP que los cibercriminales utilizaron para el ataque.
No hubo cultura previa, ni post ataque, nadie obedece las buenas prácticas. Las IP del ataque de Egregor fueron recibidas bajo el secreto de la fuente, y las expongo para que otros posibles damnificados puedan ser sorprendidos, les intento dar una oportunidad de que puedan proteger.
185.238.0.233
45.153.242.129
91.199.212.152
Fuente: Itconnect.lat