TLP: White
NIVEL DE RIESGO – [Medio]
Acción Requerida: Aplicar las medidas de contención especificadas en este aviso.
Vector de ataque: Remoto.
Impacto: Denegación de servicio y posibilidad de infección de otros tipos de malware.

Descripción

Investigadores de ciberseguridad han encontrado un nuevo programa malicioso llamado “Ensiko”, el cual es un Webshell que está escrito en PHP y tiene funciones con las que puede cifrar archivos en cualquier sistema que ejecute PHP, lo que pone en un riesgo algo a servidores Web de Microsoft Windows Server, macOS y GNU/Linux.

Usuarios maliciosos podrían usar “Ensiko” para controlar de forma remota un sistema comprometido y ejecutar una gran cantidad de actividades maliciosas, por ejemplo, ejecutar comandos de Shell en el servidor infectado y enviar los resultados al atacante a través de un Shell inverso de PHP, escanear servidores en busca de tras Webshells, alterar sitios Web, enviar correos electrónicos masivos, descargar archivos remotamente, revelar información sobre el servidor afectado, llevar a cabo ataques de fuerza bruta contra el protocolos FTP y Telnet y cPanel, sobrescribir archivos con extensiones especificadas y más.

De la gran lista de capacidades de “Ensiko”, el componente de cifrado de archivos se destaca porque puede usarse para ataques de ransomware contra servidores.

Ensiko cifra los archivos en un directorio y subdirectorios de shell web y agrega la extensión .BAK a los archivos procesados.

La autenticación en esta Webshell no es sencilla, ya que el desarrollador ocultó el formulario de inicio de sesión en una página con el banner común “No encontrado”, para la muestra analizada, la clave de acceso es “RaBiitch”.

También inserta un archivo index.php y lo establece como la página predeterminada usando un archivo .htaccess, el malware también realiza la carga de herramientas adicionales en un sistema infectado.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas

  • Sistemas operativos Microsoft Windows que ejecuten aplicaciones Web PHP.
  • Sistemas operativos macOS que ejecuten aplicaciones Web PHP.
  • Sistemas operativos GNU/Linux que ejecuten aplicaciones Web PHP.

Indicadores de compromiso IoCs

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña maliciosa reportada:

  • SHA-256
    • 5fdbf87b7f74327e9132b5edb5c217bdcf49fe275945d502ad675c1dd46e3db5
  • SHA1
    • 40f569a58cfcd15ba9593afe5c1e808130b0d68c
  • MD5
    • 3471bd4d40f8f826caa76622f4b08b0e

Medidas de mitigación

  • Comprobar el estado de la infraestructura de los servicios y aplicaciones web públicas de la organización.
  • Bloquear las comunicaciones entrantes o salientes hacia los IOC adjuntos.
  • Definir reglas basadas en listas blancas, lo que permite únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Comprobar que ningún sistema ha realizado comunicaciones con los indicadores notificados.
  • Utilizar soluciones antimalware actualizadas, aplicar una correcta seguridad perimetral, e introducir los indicadores de compromiso indicados a continuación en las reglas de los firewalls.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc).

Referencias