Se llevó a cabo un ataque dirigido hacia una empresa de Asia siendo esta una institución financiera. El ataque fue basado en Systeca.
¿Qué es Systeca?
Systeca es una plataforma de ciberseguridad, esta puede ser utiliza para poder encontrar o prevenir una actividad maliciosa por parte de algún empleado o persona que posea acceso legitimo a los sistemas utilizados por la empresa. También audita y registra cada una de las acciones que hacer los usuarios en servidores, entornos virtuales o escritorios.
Esto ayuda a tener una mejor seguridad y control interno.
¿Cómo funciona el ataque?
La primera parte del ataque es poder conseguir el acceso a la red de la víctima se ha visto que Fog Ransomware explota vulnerabilidades en servidores como Veeam Backup & Replication.
Una vez ingresado los atacantes proceden a utilizar una serie de herramientas inusuales o poco comunes, algunos ejemplos son:
GC2: Una herramienta de código abierto que puede ejecutar comandos usando Google Sheets o Microsoft SharePoint List, y exfiltrar datos a través de Google Drive o documentos de SharePoint. Ya ha sido utilizada por grupos de APT (Amenazas Persistentes Avanzadas) vinculados a China.
Stowaway: Una utilidad de proxy de código abierto para comunicaciones encubiertas y transferencias de archivos.
Syteca (Ekran System): Este es el punto clave. Los atacantes implementan el cliente de Syteca (con nombres de archivo como sytecaclient.exe o update.exe) para fines de espionaje y robo de información. Debido a sus capacidades de keylogging y captura de pantalla, es muy probable que lo utilicen para recopilar credenciales, información sensible o para espiar las actividades de los empleados sin que estos lo sepan.
Luego de esto los atacantes utilizan herramientas como PsExec y SMBExec (junto con Syteca y GC2) para moverse lateralmente dentro de la red. También establecen mecanismos de persistencia para mantener el acceso a la red comprometida.
Antes de desplegar el ransomware, los atacantes a menudo exfiltran datos utilizando utilidades como Freefilesync y MegaSync.
Después de un período de tiempo (se ha observado hasta dos semanas en la red), los atacantes despliegan el ransomware (Fog Ransomware) para cifrar los archivos de la víctima y exigir un rescate.
También se ha observado que los atacantes ejecutan comandos para eliminar o deshabilitar los procesos relacionados con Syteca, presumiblemente para borrar evidencias y evitar la detección.
¿Por qué utilizar una herramienta legitima para hacer un ataque?
Una de las grandes ventajas de utilizar una herramienta legitima para hacer un ataque, es que ayuda a los ciberdelincuentes a pasar desapercibidos. Ya que dichos sistemas pueden parecer normales y así evadir los controles de defensa.
Utilizar Systeca supone ayuda a los atacantes puesto que la herramienta logra grabar cada uno de los movimientos que hace la víctima. Esto les ayuda a obtener credenciales o información de alto valor.
Recomendaciones
- Asegúrate de que los usuarios y las cuentas de servicio solo tengan los permisos estrictamente necesarios para realizar sus tareas. Elimina los derechos de administrador local innecesarios. Esto reduce el impacto si una cuenta es comprometida.
- Implementa MFA en todos los puntos de acceso, especialmente para cuentas privilegiadas, VPNs, servicios en la nube y sistemas críticos. Esto dificulta enormemente el acceso no autorizado incluso si las credenciales son robadas.
- Implementa soluciones UEBA que puedan detectar anomalías en el comportamiento de los usuarios. Si un software como Syteca se instala en un lugar inusual o comienza a enviar datos de manera anómala, UEBA debería detectarlo.
