Descripción
Investigadores de ciberseguridad han encontrado un nuevo programa malicioso llamado “Ensiko”, el cual es un Webshell que está escrito en PHP y tiene funciones con las que puede cifrar archivos en cualquier sistema que ejecute PHP, lo que pone en un riesgo algo a servidores Web de Microsoft Windows Server, macOS y GNU/Linux.
Usuarios maliciosos podrían usar “Ensiko” para controlar de forma remota un sistema comprometido y ejecutar una gran cantidad de actividades maliciosas, por ejemplo, ejecutar comandos de Shell en el servidor infectado y enviar los resultados al atacante a través de un Shell inverso de PHP, escanear servidores en busca de tras Webshells, alterar sitios Web, enviar correos electrónicos masivos, descargar archivos remotamente, revelar información sobre el servidor afectado, llevar a cabo ataques de fuerza bruta contra el protocolos FTP y Telnet y cPanel, sobrescribir archivos con extensiones especificadas y más.
De la gran lista de capacidades de “Ensiko”, el componente de cifrado de archivos se destaca porque puede usarse para ataques de ransomware contra servidores.
Ensiko cifra los archivos en un directorio y subdirectorios de shell web y agrega la extensión .BAK a los archivos procesados.
La autenticación en esta Webshell no es sencilla, ya que el desarrollador ocultó el formulario de inicio de sesión en una página con el banner común “No encontrado”, para la muestra analizada, la clave de acceso es “RaBiitch”.
También inserta un archivo index.php y lo establece como la página predeterminada usando un archivo .htaccess, el malware también realiza la carga de herramientas adicionales en un sistema infectado.
Nivel de riesgo
- [Alto]
Sistemas/tecnologías afectadas
- Sistemas operativos Microsoft Windows que ejecuten aplicaciones Web PHP.
- Sistemas operativos macOS que ejecuten aplicaciones Web PHP.
- Sistemas operativos GNU/Linux que ejecuten aplicaciones Web PHP.
Indicadores de compromiso IoCs
A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña maliciosa reportada:
- SHA-256
- 5fdbf87b7f74327e9132b5edb5c217
bdcf49fe275945d502ad675c1dd46e 3db5
- 5fdbf87b7f74327e9132b5edb5c217
- SHA1
- 40f569a58cfcd15ba9593afe5c1e80
8130b0d68c
- 40f569a58cfcd15ba9593afe5c1e80
- MD5
- 3471bd4d40f8f826caa76622f4b08b
0e
- 3471bd4d40f8f826caa76622f4b08b
Medidas de mitigación
- Comprobar el estado de la infraestructura de los servicios y aplicaciones web públicas de la organización.
- Bloquear las comunicaciones entrantes o salientes hacia los IOC adjuntos.
- Definir reglas basadas en listas blancas, lo que permite únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
- Comprobar que ningún sistema ha realizado comunicaciones con los indicadores notificados.
- Utilizar soluciones antimalware actualizadas, aplicar una correcta seguridad perimetral, e introducir los indicadores de compromiso indicados a continuación en las reglas de los firewalls.
- Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc).
Referencias
- https://blog.trendmicro.com/
trendlabs-security- intelligence/ensiko-a- webshell-with-ransomware- capabilities/ - https://www.bleepingcomputer.
com/news/security/feature- rich-ensiko-malware-can- encrypt-targets-windows-macos- linux/ - https://www.redeszone.net/
noticias/seguridad/ensiko- amenaza-cifrar-sistemas/ - https://thecyberwire.com/
newsletters/daily-briefing/9/ 145 - https://gbhackers.com/ensiko-
web-shell-with-ransomware/ - https://www.thetechstreetnow.
com/tech/ensiko-a-php-based- web-shell-with-ransomware- capabilities-attacks-php- installation/ 2828470908457475076/ 2828470908457475076/