Lockergoga, el ransomware que no deja tranquilas a las industrias

Hace poco hablamos del incidente que sufrió la compañía productora de aluminio Norsk Hydro. Una semana después del ataque de ransomware, se estima que las pérdidas totales alcanzan los US$ 40 millones. El ransomware LockerGoga está haciendo de las suyas en los sistemas de control industrial. 

Una de las tendencias en ciberseguridad que estamos viendo este año es el ataque a los sistemas de control industrial, tema del cual estamos hablando desde hace un tiempo. En lo que va del 2019, el ransomware Lockergoga ha hecho noticia, y peor aún, intrometiéndose en varias industrias a nivel global.

La compañía noruega Norsk Hydro, a la cual ya hemos hecho referencia por el ataque que sufrió, y que en una semana tuvo pérdidas por 40 millones de dólares, no es la única que ha reportado las consecuencias de este malware. La empresa química estadounidense Momentive también fue presa de Lockergoga.

En qué consiste Lockergoga

Desde principios de año, LockerGoga ha afectado a una serie de empresas industriales y de fabricación produciendo un alto impacto: Después de una infección inicial en la consultora de ingeniería francesa Altran, LockerGoga golpeó al fabricante noruego de aluminio Norsk Hydro, forzando a algunas de sus plantas a cambiar a operaciones manuales. El malware también afectó a otras dos empresas manufactureras: Hexion y Momentive, en el caso de Momentive que provocó una «interrupción global de sus sistemas TI».

Los investigadores de seguridad también catalogaron esta variación de malware como disruptivo: Apagando computadores, bloqueando a sus usuarios y dificultando que las víctimas paguen el rescate. Los objetivos son compañías que, debido a su rubro, deberán pagar el rescate rápidamente, y que además pueden sufrir daños físicos.

Respecto la información de los objetivos se piensa que ya conocen las credenciales de los objetivos, probablemente debido a ataques de Phishing, o simplemente comprándolos a otros actores maliciosos. Una vez que los intrusos tienen un punto de apoyo inicial, utilizan los kits de herramientas de hacking como Metasploit y Cobalt Strike para así moverse a otros computadores en la red y también explotar el programa Mimikatz, que puede extraer rastros de contraseñas de la memoria de las máquinas Windows y permitirles acceso a cuentas más privilegiadas.

Después de obtener las credenciales de administrador de dominio, utilizan las herramientas de administración de Active Directory de Microsoft para plantar su carga de ransomware en las máquinas de destino en los sistemas de la víctima. Ese código, según investigadores, está firmado con certificados robados que lo hacen parecer más legítimo. Y antes de ejecutar su código de encriptación, los piratas informáticos utilizan un comando de «eliminación de tareas» en las máquinas de destino para desactivar su antivirus. Ambas medidas han hecho que el antivirus sea particularmente inefectivo contra las infecciones posteriores. LockerGoga luego encripta rápidamente los archivos del computador.

Finalmente, los atacantes plantan un archivo readme en la máquina que enumera sus demandas. «¡Saludos! Hubo una falla significativa en el sistema de seguridad de su empresa… Deberías estar agradecido de que la falla haya sido explotada por personas serias y no por algunos novatos. Habrían dañado todos tus datos por error o por diversión». La nota no indica un precio de rescate, sino que proporciona direcciones de correo electrónico, exigiendo que la víctima se ponga en contacto con los piratas informáticos para negociar una suma de bitcoin para el retorno de sus sistemas (cientos de miles de dólares según informan medios, ningún valor real ha sido aclarado de todos modos).

En la última versión del malware analizado, LockerGoga va aún más lejos: También desactiva el adaptador de red de la computadora, cambia las contraseñas de usuario y administrador en la computadora y apaga la máquina. Los investigadores de seguridad han descubierto que, en algunos casos, la víctima puede volver a iniciar sesión con una contraseña en particular: «HuHuHUHoHo283283 @ dJD», o con una contraseña de dominio almacenada en caché. Pero el resultado, aun así, es que, a diferencia de un ransomware más típico, la víctima a menudo ni siquiera puede ver el mensaje de rescate. En algunos casos, es posible que ni siquiera sepan que han sido atacados con ransomware, lo que retrasa su capacidad para recuperar sus sistemas o pagar a los extorsionadores, y causa interrupciones aún mayores en su red.

Ese es un enfoque muy diferente del ransomware clásico que simplemente encripta algunos archivos en una máquina pero, por lo demás, los deja en ejecución, dice Earl Carter, investigador de la división Talos de Cisco. El grado de interrupción es contraproducente incluso para los atacantes, ya que tienen menos probabilidades de ser pagados. «Todos son expulsados del sistema por lo que ni siquiera pueden volver a mirar la nota de rescate», dice. «Se convierte todo en caos. Acaba de destruir el funcionamiento del sistema, por lo que los usuarios no pueden hacer nada en absoluto, lo que es un impacto mucho más significativo en la red» que un ataque de ransomware típico.

Investigadores además señalan que la forma más reciente del malware podría infectar fácilmente las computadoras que usan esas firmas para controlar equipos industriales: la llamada «interfaz hombre-máquina» o máquinas HMI que ejecutan software vendido por compañías como Siemens y GE de forma remota. Gestionando procesos físicos automatizados. En el peor de los casos, el ransomware podría paralizar esos computadores y provocar condiciones inseguras o incluso accidentes industriales.

Un ejemplo de ese escenario fue un caso que salió a la luz en 2014, cuando una fábrica de acero alemana fue alcanzada por hackers desconocidos. El ataque, ya sea intencionalmente o no, impidió que los operadores de la planta cerraran un alto horno, causando «daños masivos», según un informe del gobierno alemán sobre el incidente, que no mencionó a la compañía involucrada.

Por ende, es fundamental que las compañías se preparen y tomen conciencia frente a estos incidentes, desde el punto de vista técnico (computacional) como humano (awareness). Las industrias son un objetivo real y en la actualidad cada vez son más la cantidad de plantas de producción que se ven obligadas a detener sus actividades y reportar pérdidas millonarias por culpa de incidentes de seguridad.