El pasado 23 de marzo, el FBI emitió una de sus alertas “flash” sobre un ransomware ya conocido: Mamba.  Este malware se hizo ya popular en 2016 ya que logró afectar a los sistemas de la Agencia Municipal de Transportes de San Francisco (SFMTA). En aquel incidente, aunque los servicios de trenes no se interrumpieron, la organización tuvo que pasar por unos días en los que la entrada era gratis y en los paneles de información llegó a aparecer el mensaje a la vista de todo el mundo “has sido hackeado”. Ahora en 2021, ha vuelto a entrar en escena: según los Federales, ha afectado recientemente a gobiernos locales, servicios legales, servicios de tecnología, empresas industriales, comerciales, de fabricación y de construcción.

PSEXEC como vector, DiskCryptor como herramienta de cifrado_

Como vector de entrada, los ciberatacantes de Mamba aprovechan generalmente la utilidad PSEXEC, una herramienta que permite controlar otros ordenadores en ubicaciones remotas. Su propósito es que los Administradores puedan realizar tareas de mantenimiento remoto y ejecutar comandos en el host de destino. Como interfaz de línea de comandos, PSEXEC solo requiere que proporcione la dirección, los detalles del usuario y la contraseña para obtener acceso al ordenador de destino. Está utilidad ya la mencionamos cuando tratamos los ataques Living Off The Land como el caso de Petya/NotPetya, cuyos ciberatacantes la empleaban de forma similar.

FBI: esquema de mensaje utilizado por Mamba

Una vez introducido en los sistemas y como suele ocurrir con la mayoría de casos de ransomware, las víctimas reciben un mensaje donde se les insta a pagar una cantidad elevada de dinero en criptomonedas. De esa manera, podrán obtener la clave de descifrado para desbloquear sus sistemas (Aunque hay excepciones que han ido más allá de este tipo de mensajes y han llegado a emplear amenazas incluso en el mundo físico, tal y como explicamos con el grupo DoppelPaymer). Para el cifrado mencionado, este ransomware utiliza DiskCryptor, un software legítimo de código abierto con el que cifra los archivos de disco y de red y sobrescribe el Master Boot Record (MBR).

Restauración rápida, backups y soluciones avanzadas_

De acuerdo con el FBI, existe una manera de que las víctimas de este ransomware puedan recuperar sus archivos evitando el cifrado definitivo:  la clave de cifrado y la variable que determina el tiempo de apagado de los sistemas se guardan en un archivo de configuración (myConf.txt) y se pueden leer al menos hasta el segundo reinicio de los sistemas, que ocurre de manera automática unas dos horas después. Una vez alcanzado ese tiempo, es cuando los sistemas se bloquean completamente. Por eso, si alguno de los archivos de DiskCriptor relacionados con el malware son detectados con mucha rapidez en ese intervalo de tiempo y se localiza el archivo myConf.txt, la contraseña podría ser recuperada sin tener que pagar el rescate.

En cualquier caso, tal y como abordamos recientemente en el caso del ransomware Ryuk con el Servicio Público de Empleo Estatal (SEPE), el FBI también recomienda un backup constante y regular de los sistemas que permitan restaurar su operatividad de la forma más rápida posible y sin tener que ceder al chantaje si finalmente son cifrados.

Por último, la agencia incide en que las organizaciones cuenten con “software de antivirus y antimalware en todos los hosts”. En este sentido, dado el gran auge del ransomware y su sofisticación cada vez mayor, los SOC deben contar con las herramientas más avanzadas posibles para sus operaciones de ciberseguridad.

Cytomic Covalent es la respuesta a esas necesidades, ya que cuenta con un abanico completo de funcionalidades de protección en el Endpoint a través de Cytomic EPDR. Además,  también incluye a Cytomic Orion, que acelera el Threat Hunting para reducir el tiempo de detección, mitigación y respuesta a incidentes; un tiempo que, como hemos visto con Mamba, es decisivo para evitar bloqueos y daños mayores.