La empresa de telefonía móvil Claro sufrió un ataque de ransomware el 25 de enero de 2024 en Centroamérica, afectando su servicio de telefonía móvil en varios países, incluyendo Nicaragua, Costa Rica, Guatemala, Honduras y El Salvador.
Tras un análisis exhaustivo de los indicadores de compromiso (IOCs) encontrados en el ataque, se deduce que este incidente se relaciona con el ransomware Trigona. Este peligroso virus cifra archivos y ha dejado a las empresas en estado de emergencia. Trigona es conocido por agregar la extensión “._locked” a los nombres de archivo y opera mediante la encriptación de archivos esenciales, cambiando nombres como “1.jpg” a “1.jpg._locked” y “2.png” a “2.png._locked”. Además, deja su marca característica al incorporar la clave de descifrado cifrada, el ID de la campaña y el ID de la víctima en cada archivo afectado.
El ransomware se propaga rápidamente y puede afectar no solo a un equipo, sino también a otros conectados en una red local. Por lo tanto, se enfatiza la importancia de examinar minuciosamente los correos electrónicos antes de abrir enlaces o archivos adjuntos, especialmente aquellos enviados desde direcciones desconocidas o sospechosas.
La compañía tomó medidas inmediatas para investigar y aislar los equipos afectados, y además procedió a desactivar otros sistemas como medida preventiva. Se implementaron estrategias alternativas para garantizar la continuidad operativa, y se encuentra actualmente en curso el proceso de restauración de los equipos comprometidos. En cuanto a Panamá, Claro reportó una incidencia en los servicios de pago y recarga, excluyendo aquellos relacionados con voz y datos móviles. Se espera que la totalidad de los sistemas afectados retomen su operación normal en un plazo breve.
Cadena de infección
Se descubrió que Trigona estaba explotando la vulnerabilidad ManageEngine CVE-2021-40539 para el acceso inicial según un informe de Arete. Además, los actores de amenazas utilizaron cuentas previamente comprometidas obteniendo acceso de intermediarios de acceso a la red.
Utiliza una variedad de herramientas para el movimiento lateral, incluido Splashtop (una herramienta legítima de acceso remoto), que se utiliza para colocar más herramientas adicionales en una máquina comprometida.
Trigona suelta un archivo llamado turnoff.bat (detectado como Trojan.BAT.TASKILL.AE) para finalizar los servicios y procesos relacionados con AV. También utiliza Network Scanner y Advanced Port Scanner para identificar conexiones de red.
Según el análisis de AhnLab, los operadores de Trigona utilizan el shell CLR en ataques lanzados contra servidores MS-SQL. Esta herramienta es capaz de ejecutar múltiples comandos, incluido uno que elimina ejecutables adicionales para escalar privilegios (nt.exe).
Lista de IOCs descubiertos
| Dominios | hxxp[://]znuzuy4hkjacew5y2q7mo63hufhzzjtsr2bkjetxqjibk4ctfl7jghyd[.]onion/ |
| Hash | 0144800f67ef22f25f710d181954869f1d11d471 f1c0054bc76e8753d4331a881cdf9156dd8b812a 62e4537a0a56de7d4020829d6463aa0b28843022 7049824f0e920e44e18c013ab07facbc 40ceb71d12954a5e986737831b70ac669e8b439e 55f47e767dd5fdd1a54a0b777b00ffb473acd329 11d211ce3fa615ce35bff30fa37e9251 eba816d7dc084d5702ad5d222c9b6429755b25fd 040037bd66b2b9062cffd925999718af97d36685968b875433af2bf4fa81a7e6 048e32d46b1d6f55b66a5b28be17546593c5da2ce2fc1fe99dc08aab7523ccb1 0787a93d583bb25cae5aaee759e1ab725f6e12723c5d86d22f46c31749cce1ea 12f53ffe90611f2519a1f83fbde6f9e43bef30fae9a1094b4753ace971e91d5e 138d1a9a3083aa0ac951a519a454cb8cae330733d6cbade36afc565207557af5 15fa94281eef6141ea969d0f551d05d6a2bcb127fa53b76a52916c1216cbfe76 1df868f1cf6a25d55fc7968a400a807563b934023316a0ccd8f98365931f630f 22e937ff2ec6206fa37d7418c18bb0e65c71849b43b5f43e563125678856b1ba 39d76f2d68f3c37f9b4ff33f7268dc7b58da4bcf4181262128e81a97f5f78037 4090a0034626ad8b0c658f68df7fbba452bb7711109e3d2843a6b56aad41e36f 46f1a4c77896f38a387f785b2af535f8c29d40a105b63a259d295cb14d36a561 49badc9a57d097f70bc4ef377102b93bea75936ac341c5855e3910f308c46434 4a8e2484f09047a497ec077b1687eac12e02414640e4592a17e1cf154a4f4274 5748cf3f7a4b5b0a817c4c54ab0bea007a5e4b8149126f6e5dc05971243e57d3 602eaae3b2b19f55c5311c6966b135f1149f291f7f60fdebf9a1d2c6888ba7f6 6f35a245e42135a6f6ff15fc9b4058a3600ebcaacdbedddda01baaaaa5022b77 815e7f1fc846529ba84dd43d1c4a02fc572d6c953b2eba3a2b4e7f91e92a252f 83a77adbadf5d6fc5bb2f8dfaa97b49ec573d45b99705d4c9b8d9ea54466acd7 8a1c1c1bc6def39f580a8971c03ac26987f1ac311c41f6e0d0e30097d965551e 93f1c5c56bab306097812975ad6b4e44d68c1c7c583d6075d21ce288151006b8 9e95b65a37680e9d67a2bb1070e1482e3f5628291a927381cefe65ba6836f5bd a8169df8ae00aa1598ce2b053cd4704d1cbb60dbddd77539af53b28e874d2666 a8e1207445cda0f5938b21ca09c6bc0169cb4bf191c2cdf6abf54f0afbeae333 aac53ce1e5a9536b44e9a196543076f116d40c9d0b12ff3ea7fb7063ff610c51 afe7fce49d4b21fc08809e405dc8681a48b6e4b9bed0b5b29bc7f799186d51a2 b48b422b3262fc76d852d853ecfcc0bc2737d098ee2e262c1dff021ac3fca9a3 b4ff2c16707b02ca034c654ef89d0e699064b523438abc1f389ea9e0691f2444 bbc552c24e75698862c4db9d381019419c866835be06fb9d7c569233bbc16926 c284110d1702e731f9ecddc811a72b3d45a9efafa08b829640fae989bf0347a2 c327243aa782eaa6bbd64483fd995eaa9357744c6a3f81aed7054150100ab961 c740a20bde467b0be079e8ce13852b9d91ac3b8e13319f17c6bfcb37bcffba13 c7a491710707bf3e43ca93da0589bbed99eb060008c5fc3cc33d4c06336ac5e3 d0857a4ce85dbb1235adbf9447c4f4c9648822e3f8f7b7f7b5eebd221f648c1d dcda4438981ec33f7e839a5ecda50ceb9345984f10e6ee023e13f6370a5e7f45 dd93b81446a6a0d5cc5f921fe5da1751e35dd70ad24573ae05e57fc79ab8d91e e35b7afc36e8044f65e404758345d3639c9d2803579e2855f4c620c7f09ca598 ea643b41d0bb5fec5f5dcd6ed9e5244ab339298ea33e5457b4868f7b4060903b f7c9d912e7e8f3a5eca0cd0ec7525c6361cce3dd69bd7f23a3c0273530b8b370 fe793370f217c1b58009c3d2310fce6e5327dadb4b0b7f6e316691b36a6d9a54 bef87e4d9fcaed0d8b53bce84ff5c5a70a8a30542100ca6d7822cbc8b76fef13 853909af98031c125a351dad804317c323599233e9b14b79ae03f9de572b014e 24123421dd5b78b79abca07bf2dac683e574bf9463046a1d6f84d1177c55f5e5 4724EE7274C31C8D418904EE7E600D92680A54FECDAC28606B1D73A28ECB0B1E e22008893c91cf5bfe9f0f41e5c9cdafae178c0558728e9dfabfc11c34769936 8d069455c913b1b2047026ef290a664cef2a2e14cbf1c40dce6248bd31ab0067 544a4621cba59f3cc2aeb3fe34c2ee4522593377232cd9f78addfe537e988ddc a15c7b264121a7c202c74184365ca13b561fb303fb8699299039a59ab376adc6 b7fba3abee8fd3bdac2d05c47ab75fdaa0796722451bed974fb72e442ab4fefd e5cf252041045b037b9a358f5412ae004423ad23eac17f3b03ebef7c8147a3bb 5603d4035201a9e6d0e130c561bdb91f44d8f21192c8e2842def4649333757ab 69f245dc5e505d2876e2f2eec87fa565c707e7c391845fa8989c14acabc2d3f6 94979b61bba5685d038b4d66dd5e4e0ced1bba4c41ac253104a210dd517581b8 9c8a4159166062333f2f74dd9d3489708c35b824986b73697d5c34869b2f7853 c5d09435d428695ce41526b390c17557973ee9e7e1cf6ca451e5c0ae443470ca f1e2a7f5fd6ee0c21928b1cae6e66724c4537052f8676feeaa18e84cf3c0c663 951fad30e91adae94ded90c60b80d29654918f90e76b05491b014b8810269f74 d0268d29e6d26d726adb848eff991754486880ebfd7afffb3bb2a9e91a1dbb7c a891d24823796a4ffa2fac76d92fec2c7ffae1ac1c3665be0d4f85e13acd33f9 2b40a804a6fc99f6643f8320d2668ebd2544f34833701300e34960b048485357 8cbe32f31befe7c4169f25614afd1778006e4bda6c6091531bc7b4ff4bf62376 fb128dbd4e945574a2795c2089340467fcf61bb3232cc0886df98d86ff328d1b 41c9080f9c90e00a431b2fb04b461584abe68576996379a97469a71be42fc6ff c7a930f1ca5670978aa6d323d16c03a97d897c77f5cff68185c8393830a6083f 248e7d2463bbfee6e3141b7e55fa87d73eba50a7daa25bed40a03ee82e93d7db 596cf4cc2bbe87d5f19cca11561a93785b6f0e8fa51989bf7db7619582f25864 704f1655ce9127d7aab6d82660b48a127b5f00cadd7282acb03c440f21dae5e2 859e62c87826a759dbff2594927ead2b5fd23031b37b53233062f68549222311 8f8d01131ef7a66fd220dc91388e3c21988d975d54b6e69befd06ad7de9f6079 97c79199c2f3f2edf2fdc8c59c8770e1cb8726e7e441da2c4162470a710b35f5 a86ed15ca8d1da51ca14e55d12b4965fb352b80e75d064df9413954f4e1be0a7 accd5bcf57e8f9ef803079396f525955d2cfffbf5fe8279f744ee17a7c7b9aac da32b322268455757a4ef22bdeb009c58eaca9717113f1597675c50e6a36960a e7c9ec3048d3ea5b16dce31ec01fd0f1a965f5ae1cbc1276d35e224831d307fc e97de28072dd10cde0e778604762aa26ebcb4cef505000d95b4fb95872ad741b f29b948905449f330d2e5070d767d0dac4837d0b566eee28282dc78749083684 fa6f869798d289ee7b70d00a649145b01a93f425257c05394663ff48c7877b0d fbba6f4fd457dec3e85be2a628e31378dc8d395ae8a927b2dde40880701879f2 fd25d5aca273485dec73260bdee67e5ff876eaa687b157250dfa792892f6a1b6 |
| IPs | 79.124.59[.]178 79.124.56[.]186 79.124.58[.]194 45.227.253[.]106 45.227.253[.]98 45.227.253[.]107 45.227.253[.]99 2.57.149[.]233 |
Mitigaciones
El ransomware Trigona mantiene actualmente un perfil relativamente bajo en comparación con familias más extendidas, lo que le permite operar de forma encubierta. No obstante, debido a su continua evolución y aumento de actividad, anticipamos que Trigona ganará protagonismo en un futuro próximo. Además, se une a la creciente lista de grupos de ransomware que han desarrollado una versión de Linux para intentar capitalizar el creciente mercado de Linux de alto valor, lo que añade evidencia de que los operadores de Trigona están tratando de ampliar su alcance tanto como sea posible. Por lo tanto, es fundamental que las personas y las organizaciones se familiaricen con este ransomware para evitar posibles daños.
Para salvaguardar los sistemas contra ataques de ransomware, es recomendable que las organizaciones adopten medidas efectivas. Estos incluyen implementar protocolos de protección de datos y establecer procedimientos de copia de seguridad y recuperación para garantizar que los datos permanezcan seguros y puedan restaurarse en caso de cifrado o incluso eliminación. Realizar evaluaciones de vulnerabilidad de rutina y aplicar parches a los sistemas con prontitud puede reducir significativamente el impacto de los ataques de ransomware que explotan las vulnerabilidades.
Recomendamos las siguientes precauciones de seguridad:
- Habilite la autenticación multifactor (MFA) para impedir que los atacantes se muevan lateralmente dentro de una red y accedan a información confidencial.
- Siga la regla 3-2-1 al crear copias de seguridad de archivos importantes. Esto implica generar tres copias de seguridad almacenadas en dos formatos de archivo diferentes, con una copia almacenada en una ubicación separada, de esta forma garantiza la redundancia y minimiza el riesgo de pérdida de datos.
- Actualice y aplique parches a los sistemas con regularidad. Es importante mantener las aplicaciones y los sistemas operativos actualizados y establecer protocolos sólidos de administración de parches para evitar que actores malintencionados aprovechen las vulnerabilidades del software.
Referencias
- https://www.revistaeyn.com/empresasymanagement/operacion-de-claro-en-centroamerica-fue-afectada-por-un-caso-de-ransomware-AB17340257
- https://www.swissinfo.ch/spa/centroam%C3%A9rica-telecomunicaciones_claro-sufre-un-incidente-de-ransomware-que-afecta-su-servicio-celular-en-centroam%C3%A9rica/49182752