Síntesis

En este artículo se presenta un breve ejercicio en el que se muestra el análisis de la actividad de ransomware con un enfoque de Inteligencia, iniciando con algunas definiciones. El análisis realizado tiene como base un par de eventos cibernéticos relacionados con entidades financieras en México, presentados en febrero de 2019. Al final del artículo se señalan las muestras de malware que podrían estar implicadas en los eventos cibernéticos en cuestión.

Introducción

La Inteligencia de Amenazas es un término que se ha popularizado en los últimos años, convirtiéndose en uno de los principales servicios ofertados por distintas empresas de Ciberseguridad. No obstante, aún existen dudas sobre el tipo de actividades a las que hace referencia y sobre todo el tipo de productos generados de esta labor. Para poder comprender el concepto de Inteligencia de Amenazas es necesario conocer la definición de Inteligencia.

La Inteligencia es el proceso que permite generar información de valor, útil para la toma de decisiones en distintos niveles. Este proceso consta de las fases de planeación y dirección, recolección, procesamiento, análisis y producción de la información proveniente de distintas fuentes, seguida de la presentación de los productos de Inteligencia generados a través de la difusión y explotación, para iniciar nuevamente a partir de la retroalimentación recibida. Es un error común confundir las actividades de Inteligencia con las correspondientes a la correlación de información, al creer que la Inteligencia resulta de la recolección y procesamiento de la información lo que solo representa dos de las fases del proceso. En la siguiente imagen se presentan las fases del proceso de Inteligencia y su correspondencia, conformando lo que es conocido como el “Ciclo de Inteligencia”:

imagen 1. Ciclo de Inteligencia

De lo dicho, es posible inferir que la inteligencia es el proceso y los productos derivados del mismo.

Tomando como base el Ciclo de Inteligencia presentado antes, es sencillo ilustrar la diferencia entre datos, información e Inteligencia de la siguiente manera: cualquiera puede recolectar datos de interés, que luego de ser procesados se transforman en información y que al ser analizados y producidos de manera adecuada se convierten en Inteligencia.

De manera natural, las actividades de Inteligencia no siguen un camino rígido para generar un resultado, pues las acciones dependen de las habilidades y la experiencia de cada uno de los analistas. No obstante, el resultado final debe ser el mismo al estar sustentado en modelos de análisis bien establecidos. Además, el éxito de la Inteligencia reside en la ejecución apropiada de todas y cada una de las actividades incluidas en el Ciclo de Inteligencia, refutando la creencia que suele tenerse en la que la mayor importancia se le otorga a la cantidad de fuentes de información a las que se tiene acceso. Lo anterior es incorrecto, pues un mayor acceso a datos/información no siempre implica un mejor análisis y en consecuencia un producto superior de Inteligencia.

La Inteligencia de Amenazas es entonces el proceso que permite entender a los actores cibernéticos maliciosos como resultado del análisis de sus intenciones, oportunidades y capacidades para impactar negativamente en sus objetivos. El entendimiento de las amenazas faculta a las entidades con presencia en el Ciberespacio para realizar distintas actividades que van desde la búsqueda de elementos que pudieran indicar la existencia de actividad anómala en una red o sistema (IOCs, de sus siglas en inglés “Indicators of Compromise”), hasta la emulación de las Tácticas, Técnicas y Procedimientos (TTPs) utilizadas por los atacantes para determinar si se cuenta con los mecanismos necesarios para realizar la detección de las actividades anómalas e identificar los faltantes para su posterior implementación.

Los productos de Inteligencia de Amenazas permiten a las organizaciones comprender los riesgos que representan los atacantes que pudieran impactar en sus actividades, con el objetivo de desencadenar acciones que permitan su mitigación. Estos productos varían en función del público al que están dirigidos, siendo el estratégico, operacional y táctico los considerados durante su generación. A continuación de explican de manera breve las audiencias consideradas para la Inteligencia generada:

• Estratégica: contempla los niveles ejecutivos encargados de la toma de decisiones. El enfoque de los productos generados para esta audiencia reside en la interpretación de toda la información disponible para formular las resoluciones que necesitan realizarse.
• Operacional: esta audiencia está constituida por los encargados de establecer un enlace entre el personal táctico y estratégico.Los productos para esta audiencia buscan otorgarle un panorama general de la parte Técnica y Estratégica.
• Táctica: se refiere al grupo que utiliza la información técnica relacionados con las amenazas. Los productos para esta audiencia tienen un planteamiento totalmente técnico que suelen compartirse como indicadores para su uso dentro de los distintos entornos tecnológicos.

A continuación se presenta un breve ejercicio en el que se aplican algunas actividades de Inteligencia para realizar el análisis de un software malicioso tipo ransomware utilizado por las Amenazas.

Febrero 2019: Eventos cibernéticos en México

En el mes de febrero de 2019 se suscitaron un par de eventos cibernéticos en México que afectaron a entidades financieras. El primero de ellos aconteció el 7 de febrero y se relaciona con InverCap®Afore, como lo dio a conocer en un comunicado oficial publicado a través de su cuenta de Twitter1 (@Afore_InverCap). A continuación se presenta el comunicado en cuestión, emitido un día después del evento:

Imagen 2. Comunicado oficial de InverCap® Afore sobre un intento de ataque cibernético

La Comisión Nacional del Sistema de Ahorro para el Retiro (CONSAR) emitió una nota2 breve referente a esta situación en la que reportó que los protocolos de ciberseguridad fueron activados de manera exitosa y reiteró que no se presentó afectación alguna. En la siguiente imagen se presenta un fragmento de lo indicado por la CONSAR:

Imagen 3. Nota de la CONSAR sobre el evento acontecido en InverCap® Afore

El segundo evento sucedió 5 días después, el día 12 de febrero, y se relacionó con CI Banco, quién informó sobre la situación a sus clientes a
través de su cuenta de Twitter3 (@CIbancoverde). A continuación se presenta el comunicado en cuestión, emitido un día después del evento:

Imagen 3. Comunicado oficial de CIBanco sobre un intento de ataque cibernético

Tomemos la información pública disponible referente a los eventos expuestos previamente para iniciar un breve ejercicio de análisis aplicando algunos elementos de Inteligencia de Amenazas.

Es necesario denotar que una de las habilidades necesarias con la que deben contar los analistas de Inteligencia es la identificación de los datos útiles que le permitan iniciar con un análisis más profundo. Por ejemplo, de la información presentada arriba se conocen las fechas de los sucesos, el tipo de artefacto implicado (virus informático – “ransomware”) y del comunicado de la CONSAR, el tipo de sistema operativo al que afectan (Windows).

Actividad global de ransomware

Considerando la información con la que se cuenta es posible realizar el análisis de la actividad de ransomware presentada alrededor de las fechas en las que sucedieron los eventos de ciberseguridad reportados por InverCap®Afore y CI Banco, 7 y 12 de febrero de 2019, respectivamente. El objetivo de este análisis es delimitar los elementos de software malicioso que pudieran estar relacionados con las actividades reportadas.

El ransomware es un tipo de software malicioso cuyo propósito original es restringir el acceso a un sistema o a los recursos almacenados en él para cobrar un rescate por su liberación. En caso de no pagar el monto requerido por los atacantes, el sistema y/o la información que contiene quedan inaccesibles. Actualmente, la mayoría del ransomware realiza la búsqueda y cifrado de los archivos disponibles en el equipo afectado y a cambio del pago del rescate, el atacante ofrece entregar la llave para descifrarlos. Es necesario mencionar que durante algunos ataques a entidades financieras se ha utilizado ransomware como un elemento de distracción, es decir, los atacantes infectan sistemas con este tipo de artefactos para captar la atención de las áreas operativas, mientras realizan otras actividades para conseguir sus objetivos reales.

En el ámbito de Inteligencia, el insumo necesario para la generación de Inteligencia es la Inteligencia misma. De esta manera, para realizar un análisis que genere información de valor se debe conocer el comportamiento que tiene el ransomware a lo largo del tiempo. Enseguida se describe de manera general la actuación de este tipo de software malicioso:

Imagen 4. Comportamiento de ransomware a lo largo del tiempo (estimado)

En el diagrama anterior se ha indicado explícitamente lo que acontece en los primeros dos días del actuar del ransomware al resultar trascendentales durante el análisis. Este tiempo es una estimación que representa el lapso máximo en el que se realiza la identificación de la actividad anómala debida al ransomware. Una vez que ha sido identificado, el ransomware suele catalogarse de la siguiente manera:

• Nuevo: se refiere al ransomware que describe un comportamiento que no había sido observado con anterioridad.
• Variante: se trata de un ransomware derivado de uno observado previamente.

De esta forma, si consideramos que el reporte de la actividad anómala debida a un ransomware sucede en un lapso no mayor al segundo día de su aparición, los períodos definidos para el análisis de los eventos de ciberseguridad reportados serían los comprendidos del 7 al 8 de febrero para el caso de InverCap®Afore y del 12 al 13 de febrero para CI Banco.

En la siguiente tabla se muestra la actividad de ransomware acontecida en las ventanas de tiempo mencionadas:

Tabla 1. Actividad de ransomware global acontecida en los días de interés

Ransomware con presencia en México

Considerando la actividad global de ransomware observada en los rangos de fechas de interés, se realizó el rastreo del software malicioso de este tipo que mostró algún tipo de actividad en el territorio nacional. De esta manera se determinó que el único ransomware observado en México entre el día 7 y el 13 de febrero fue el conocido con el nombre de Clop, cuya primera aparición se dio a conocer el día 8 de febrero de 2019. Clop es un ransomware que recibe su mote debido a que agrega la extensión “.Clop” a los archivos secuestrados (cifrados) de los sistemas afectados, asimismo, la nota en la que se requiere el rescate para el descifrado de los archivos comprometidos tiene el nombre “ClopReadMe.txt”. Un ejemplo de esta nota, obtenida de Pastebin4, se presenta a continuación:

En el período de tiempo comprendido entre el 7 y el 13 de febrero se encontraron 5 muestras distintas identificadas como ransomware Clop que presentaron algún tipo de actividad en México. En la siguiente tabla se muestran los valores de las firmas hash de las muestras identificadas:

Tabla 2. Muestras de ransomware Clop con presencia en México

Cada vez que un nuevo elemento de información se agrega a las actividades de Inteligencia es necesario definir la mejor manera de utilizarlo.Con esto en mente, si observamos la actividad en Internet a lo largo del tiempo de las 5 muestras del ransomware Clop, se podrían identificar posibles relaciones con lo sucedido en InverCap®Afore y CI Banco. En la siguiente imagen se presenta la actividad señalada:

Imagen 6 Muestras del ransomware Clop con presencia en México (línea de tiempo)

Con base en el comportamiento expuesto por las muestras de ransomware y continuando con la premisa de que la identificación de cada una de ellas se presenta como máximo en el segundo día de su aparición, es posible desarrollar las siguientes hipótesis:

• La muestra de ransomware con la firma hash SHA256 8e1bbe4cedeb7c334fe780ab3fb589fe30ed976153618ac3402a5edff1b17d64,
identificada el 08 de febrero, podría estar relacionada con el evento presentado en InverCap®Afore el 7 de febrero de 2019.
• La muestra de ransomware con la firma hash SHA256 00e815ade8f3ad89a7726da8edd168df13f96ccb6c3daaf995aa9428bfb9ecf1,
identificada el 12 de febrero, podría estar relacionada con el evento presentado en CI Banco el 12 de febrero de 2019.

Es importante señalar que las actividades de análisis están sustentadas en las evidencias existentes en fuentes ajenas a las entidades relacionadas con los eventos señalados, por lo que las hipótesis anteriores se han establecido sin conocer evidencia ni información interna.

Para concluir con este ejercicio resulta prioritario dejar en claro que “Los elementos tecnológicos utilizados por los atacantes, en este caso el ransomware, no son una amenaza, pues la amenaza real es el factor humano detrás de ellos.”

Pensamientos finales

Como puede apreciarse en el ejercicio presentado, es posible generar productos de Inteligencia mediante el sometimiento de la información proveniente de distintas fuentes al Ciclo de Inteligencia, partiendo de información pública, como se ha hecho en el breve ejercicio descrito en este artículo. Este tipo de resultados pueden ser obtenidos siempre que el análisis sea realizado por personal que cuente con los conocimientos necesarios para hacerlo.

El producto generado durante este ejercicio otorga un panorama general del ransomware, la manera en la que se comporta y finalmente se comparten algunos indicadores (firmas hash) útiles para una audiencia táctica. Es necesario señalar que para robustecer el resultado de la Inteligencia de Amenazas debe incluirse la información generada como parte de la respuesta a incidentes cibernéticos presentados, pues no hay una mejor fuente de información sobre las amenazas que el análisis de las evidencias que quedan cuando alguna de ellas se materializa.

La Inteligencia de Amenazas es uno de los servicios proporcionados por MNEMO-CERT que está enfocado en proporcionar valor a través de la detección y entendimiento de las amenazas existentes en el Ciberespacio que pudieran representar un riesgo para las instituciones en México, mediante la generación de indicadores e información útiles para su aprovechamiento por distintos niveles organizativos.