TLP: White
NIVEL DE RIESGO – CVSS v3.0 9.8 [Crítico]

Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones y actualizar los sistemas que aprovecha este programa malicioso.

Vector de ataque: Red, acceso remoto, correos phishing.
Impacto: La infección exitosa de un equipo con este programa malicioso puede ocasionar que un usuario malintencionado obtenga y cifre la información confidencial de la organización.

Descripción

La multinacional Cognizant, con presencia en España y varios países de Latinoamérica, proveedora de servicios y soluciones de tecnologías de la información a múltiples empresas de distintos sectores, ha confirmado hace pocos días haber sido afectada por un ciberataque del programa malicioso de tipo ransomware conocido como “Maze” el cual comprometió sus sistemas internos, además de provocar interrupciones en el servicio para algunos de sus clientes.

Cognizant, entre otros servicios, administra de forma remota los sistemas de sus clientes para realizar labores de mantenimiento tales como aplicar actualizaciones de software, o dar soporte técnico a distancia.

Investigadores sospechan que los autores son los mismos relacionados a ataques previos de Maze, y es muy probable que estos estuvieran presentes en la red de Cognizant desde hace semanas, e incluso más tiempo.

Maze generalmente se propaga mediante correos de suplantación de identidad, conexiones a escritorios remotos con credenciales débiles o mediante el uso de programas que aprovechan fallas de seguridad. Los programas más utilizados por Maze han sido “Fallout” y “Spelevo”, los cuales aprovechan fallas de seguridad presentes en Adobe Flash Player, las cuales han sido rastreadas como:

  1. CVE-2018-4878 v3.0 – 9.8 [Critica]
  2. CVE-2018-15982 v3.0 – 9.8 [Critica]

Maze se caracteriza no solo por cifrar los datos de la víctima, sino también por extraer la información para ser utilizada posteriormente como chantaje, por si la víctima decidiese no realizar el pago, en cuyo caso, los atacantes procederían con la publicación de la información en su página Web de “noticias” en la red TOR. Cabe destacar que en este último año se ha identificado actividad maliciosa relacionada con Maze, e incluso los actores maliciosos han publicado la red TOR la información de sus víctimas, afectando a diferentes organizaciones alrededor de todo el mundo.

Un posible atacante, una vez que logra irrumpir en la organización objetivo, recorre discretamente los sistemas conectados en la red recopilando archivos e información interna de la compañía, credenciales de usuario, y otra información de valor para su posterior uso, y después lograr obtener privilegios de administrador. Tras conseguir escalar privilegios, implementa el ransomware mediante el uso de herramientas como PowerShell Empire, la cual permite realizar múltiples funcionalidades como keyloggers, carga/descarga de archivos, comunicación cifrada, entre otras.

Nivel de riesgo

  • Crítico

Sistemas/tecnologías afectadas:

  • Adobe Flash Player 28.0.0.137.
  • Adobe Flash Player para Google Chrome 28.0.0.137.
  • Adobe Flash Player para Microsoft Edge 28.0.0.137.
  • Adobe Flash Player para Internet Explorer 28.0.0.137.
  • Adobe Flash Player 31.0.0.153.
  • Adobe Flash Player para Google Chrome 31.0.0.153.
  • Adobe Flash Player para Microsoft Edge 31.0.0.153.
  • Adobe Flash Player para Internet Explorer 31.0.0.153.

Indicadores de compromiso IoCs

A continuación se listan los IoCs identificados hasta el momento, relacionados con el programa malicioso reportado en esta alerta.

  • SHA-256-256
    • e8a091a84dd2ea7ee429135ff48e9f48f7787637ccb79f6c3eb42f34588bc684
    • dee863ffa251717b8e56a96e2f9f0b41b09897d3c7cb2e8159fcb0ac0783611b
    • b345697c16f84d3775924dc17847fa3ff61579ee793a95248e9c4964da586dd1
  • Nombres de archivos:
    • maze[.]dll
    • memes[.]tmp
    • kepstl32[.]dll
  • Direcciones IP identificadas en estas campañas
    • 91.218.114[.]4
    • 91.218.114[.]11
    • 91.218.114[.]25
    • 91.218.114[.]26
    • 91.218.114[.]31
    • 91.218.114[.]32
    • 91.218.114[.37
    • 91.218.114[.]38
    • 91.218.114[.]77
    • 91.218.114[.]79

Reglas Yara

Se puede obtener la regla YARA para la detección en el sistema IDS en la siguiente URL:

Medidas de contención

  • No abrir documentos cuyo origen sea desconocido y/o sospechoso, ya que es una de las principales vías de infección de Maze.
  • Verificar el remitente de cada correo electrónico antes de realizar la descarga de cualquier documento adjunto.
  • Deshabilitar la ejecución automática de macros en documentos Microsoft Office.
  • Identificar los equipos internos que hayan podido realizar algún tipo de comunicación con los indicadores notificados.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura: IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Aplicar una correcta seguridad perimetral e introducir los indicadores de compromiso proporcionados.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Utilizar una solución efectiva de filtrado de programas maliciosos.
  • Aplicar las actualizaciones de seguridad de forma regular en dispositivos de hardware y software.
  • Cifrar la información crítica dentro de la organización para evitar fuga de datos.

Medidas de erradicación

A continuación, se listan las actualizaciones de seguridad liberadas por Adobe para corregir las vulnerabilidades que aprovecha esta campaña maliciosa:

  • Adobe Flash Player 28.0.0.161.
  • Adobe Flash Player para Google Chrome 28.0.0.161.
  • Adobe Flash Player para Microsoft Edge 28.0.0.161.
  • Adobe Flash Player para Internet Explorer 28.0.0.161.
  • Adobe Flash Player 32.0.0.101.
  • Adobe Flash Player para Google Chrome 32.0.0.101.
  • Adobe Flash Player para Microsoft Edge 32.0.0.101.
  • Adobe Flash Player para Internet Explorer 32.0.0.101.

Referencias