Análisis del código dañino Avaddon

• Informe de Código Dañino
• Avaddon

• Este nuevo documento está disponible en la parte pública del portal del CCN-CERT.
• El ransomware Avaddon ha estado involucrado en múltiples campañas orquestadas por diversos atacantes desde junio de 2020 a través del modelo de negocio Ransomware-as-a-Service.
• En el Informe Código Dañino CCN-CERT ID-28/20 se ofrecen las características más destacables de Avaddon, su procedimiento de infección y cifrado, así como una regla de detección YARA.

El CERT del Centro Criptológico Nacional (CCN-CERT) ha publicado un nuevo documento en la parte pública de su portal. Se trata del Informe Código Dañino CCN-CERT ID-28/20 “Avaddon”, en el que se recoge el análisis de una muestra de este ransomware.

Avaddon es un ransomware que ha estado desde junio de este año involucrado en múltiples campañas orquestadas por diversos atacantes. Una de ellas tuvo lugar el pasado 4 de julio, cuando se identificaron diversas campañas de spam en las que se utilizaba la botnet Phorpiex/Trik como vía de entrada para distribuir Avaddon entre otros códigos dañinos.

El modelo de negocio que emplea este ransomware es el conocido como RaaS (Ransomware-as-a-Service), según el cual los autores del malware se encargan de su desarrollo y la operativa del servicio de pago vía Tor, mientras que los afiliados que se unan al programa se encargan de su distribución (mediante spearphishing, exploit-kits, etc.) a cambio de un porcentaje del dinero recaudado en los rescates.

Algunos de las principales características de Avaddon es que está desarrollado en C++, que emplea AES256 junto con RSA2028 para cifrar los ficheros de las víctimas, que no requiere de conectividad a Internet para ejecutar sus acciones dañinas y que antes de comenzar a cifrar los ficheros desactiva las shadow copies y elimina las copias de seguridad del sistema. Además, tiene capacidad para infectar unidades de red, dispositivos extraíbles, así como otras unidades montadas en el sistema de la víctima.

CCN-CERT (24/09/2020)

Informe Código Dañino CCN-CERT ID-28/20 “Avaddon”

El Centro Criptológico Nacional presenta su Memoria de Actividades 2019

• En el documento se recogen las principales acciones acometidas en materia de ciberseguridad y promoción y desarrollo de productos de seguridad TIC.
• El pasado año el Organismo celebró el decimoquinto aniversario de su creación en el seno del Centro Nacional de Inteligencia, a través del Real Decreto 421/2004.
• La publicación de la nueva Estrategia Nacional de Ciberseguridad, el esfuerzo en reforzar y ampliar las iniciativas en pos de una cultura de ciberseguridad en el país, la realización de 24 auditorías en organizaciones críticas, el desarrollo y seguimiento del Esquema Nacional de Seguridad y la rápida intervención del CCN-CERT frente a la campaña de ataques del ransomware EMOTET, son algunas de las acciones llevadas a cabo por el CCN durante 2019.

El Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI), ha publicado su Memoria de Actividades 2019, en la que recoge todas las acciones llevadas a cabo a lo largo de este periodo en materia de ciberseguridad y promoción y desarrollo de productos de seguridad TIC, así como todas aquellas iniciativas encaminadas a la adopción de buenas prácticas y formación de los usuarios.

En el documento se hace balance de un año muy especial, pues en 2019 el CCN celebró su decimoquinto aniversario, el tiempo transcurrido desde la publicación en el Boletín Oficial del Estado (BOE) del Real Decreto 421/2004, de 12 de marzo, que regulaba este Organismo. Y desde entonces, el CCN “siempre ha tenido el firme propósito de fortalecer la ciberseguridad nacional, promoviendo el desarrollo, certificación y uso de productos y tecnologías seguras y velando por la protección de la información clasificada”, tal como señala en la carta introductoria la Secretaria de Estado Directora del CNI, Paz Esteban López.

En este sentido, de especial interés ha sido la labor realizada por el CCN para promover la cultura en ciberseguridad, reforzando y ampliando sus iniciativas de concienciación y sensibilización. Ejemplo de ello fue la publicación de seis nuevos Informes de Buenas Prácticas y la incorporación en su portal web de una nueva sección: ‘Ciberconsejos’, dedicada a recomendaciones para prevenir y detectar contratiempos en la utilización diaria de las nuevas tecnologías. Hasta un total de ocho ‘ciberconsejos’ en forma de informes, infografías y píldoras multimedia se publicaron a lo largo de este año, distribuidos en cuatro subsecciones (Amenazas, Desinformación, Redes Sociales y Empleo de la tecnología), sobre temas tan relevantes como cryptojacking, phishing o seguridad en perfiles corporativos. Todas ellas gozaron de una gran acogida por parte de los usuarios, con un gran índice de visualizaciones y más de 7.000 descargas.

En línea con este objetivo, el CCN ha continuado desarrollando su misión por formar a los usuarios. De este modo, en el Informe quedan reflejadas las principales acciones formativas que se impartieron, en las que destacan sus Cursos STIC, que durante 2019 contaron con un total de 600 alumnos. Del mismo modo, más de 4.000 usuarios se inscribieron a los cursos online que se organizaron a través de VANESA, la plataforma de streaming del CCN.

Otra de las principales labores realizadas por el Organismo son las auditorías de seguridad, las cuales son llevadas a cabo por su Capacidad de Respuesta a incidentes de Seguridad de la Información (CCN-CERT) mediante el uso de metodologías reconocidas. Y durante este periodo, ha sido capaz de gestionar y medir de manera continua la evolución de los activos auditados respecto a niveles de seguridad y riesgos definidos, posibilitando la capacidad de reacción y mitigación ante posibles defectos de configuración y vulnerabilidades detectadas.

En cuanto a las iniciativas en las que ha colaborado y ha prestado su apoyo destaca por su relevancia la creación, el pasado 15 de febrero de 2019, tras la aprobación del Consejo de Ministros, del Centro de Operaciones de Ciberseguridad, como instrumento de la Administración General del Estado (AGE) y sus organismos públicos vinculados o dependientes (SOC AGE).

Asimismo, durante 2019 el CCN ha seguido teniendo un papel clave en el desarrollo, implantación y seguimiento del Esquema Nacional de Seguridad (ENS), tanto en el sector público como en las empresas que proporcionan servicios al mismo. En este sentido, el pasado año trabajó, en colaboración con el Ministerio de Política Territorial y Función Pública, en la revisión de su alcance, de forma que estuviera adaptado a las nuevas normativas publicadas en materia de Seguridad de las TIC, como la Estrategia Nacional de Ciberseguridad, publicada en abril de 2019.

Por otro lado, el Informe recoge la importante labor desempeñada durante este año por el CCN-CERT en materia de gestión de ciberincidentes, destacando su papel activo frente a EMOTET, el ransomware protagonista de este último año que atacó de forma muy agresiva a numerosos organismos públicos y empresas. Como respuesta a las diferentes campañas que lo emplearon, el CCN-CERT desarrolló una vacuna, desplegó equipos en las sedes de algunos de los organismos afectados y mantuvo en todo momento informada a su comunidad.

Junto a ello, la creación de soluciones y herramientas de ciberseguridad, a disposición de los organismos que las necesiten. En 2019 el Organismo trabajó considerablemente en este sentido, actualizando y mejorando algunas de estas soluciones, al igual que desarrollando otras nuevas, como son AMPARO (estudio simplificado de sistemas), ANA (Automatización y Normalización de Auditorías), ELISA (Observatorio Digital) y EMMA (control de acceso a las infraestructuras de red).

Por último, es necesario destacar el trabajo desempeñado por el CCN, junto a la Federación Española de Municipios y Provincias (FEMP), en la implementación de los primeros Centros de Operaciones de Seguridad virtuales (vSOC) en Entidades Locales, cuya misión no es otra que conseguir que estas obtengan mayor visibilidad e información sobre vulnerabilidades, fallos de configuración e incidentes, capacidad de despliegue, protección y actuación.

CCN-CERT (23/09/2020)

Memoria de Actividades 2019 (páginas enfrentadas / imprimible)

La solución EMMA se incorpora al Catálogo de Productos y Servicios STIC del Centro Criptológico Nacional

• Guía ‘CCN-STIC 105, Catálogo de Productos y Servicios STIC (CPSTIC)’
• La solución EMMA ha sido incluida en el Catálogo de Productos y Servicios STIC al cumplir con los requisitos de seguridad exigidos para el manejo de información sensible en el Esquema Nacional de Seguridad. EMMA permite obtener visibilidad, control, respuesta y cumplimiento de todos los activos conectados a una red corporativa.
• Ya se encuentran disponibles los manuales de instalación y configuración de la solución EMMA.

La solución EMMA del CCN-CERT ha sido incluida como producto cualificado en el Catálogo de Productos y Servicios STIC (CCN-STIC-105), por lo que se considera adecuada para ser utilizada en sistemas de Categoría Alta en el Esquema Nacional de Seguridad (ENS). La solución, que cumple con los requisitos de seguridad exigidos para el manejo de información en este ámbito, se encuentra dentro de la familia de Control de Acceso a Red (NAC) de la categoría Control de Acceso del CPSTIC.

EMMA agiliza la visualización de activos en una red, su autenticación y segregación, así́ como la automatización de auditorías de seguridad de la infraestructura. Así, es posible obtener visibilidad, control / respuesta y cumplimiento de todos activos conectados a la red corporativa. Es decir, EMMA da visibilidad de los dispositivos conectados a una red, tiene capacidad de respuesta ante y puede alertas proporcionar acceso remoto de los usuarios a servicios corporativos.

Es una solución modular, que permite a las organizaciones adoptar solo los módulos necesarios en su situación actual y en una aproximación de menos a más. Los módulos que componen EMMA son: Visibilidad, Control / Respuesta, Segmentación, Cumplimiento, BYOD, Gestión de invitados y Vigilancia en Acceso Remoto (EMMA-VAR).

Para la correcta instalación y configuración de la solución, el Centro Criptológico Nacional pone a disposición de los organismos interesados los manuales de instalación y configuración de EMMA, así como las Guías de Operación de los módulos de Cumplimiento y EMMA-VAR. La solicitud de estos documentos se debe realizar a través de la cuenta de correo: emma@ccn-cert.cni.es. EMMA se integrará con soluciones del ecosistema CCN-CERT. Concretamente con las soluciones ROCIO y ANA. Puede encontrar más información sobre EMMA en: https://www.ccn-cert.cni.es/soluciones‐seguridad/emma.html

Sobre el Catálogo de Productos y Servicios STIC (CPSTIC)

El catálogo de Productos y Servicios STIC (CPSTIC) ofrece un listado de productos y servicios con unas garantías de seguridad contrastadas por el Centro Criptológico Nacional. Tiene como finalidad ofrecer a los organismos de la Administración un conjunto de productos y servicios STIC de referencia cuyas funcionalidades de seguridad relacionadas con el objeto de su adquisición han sido certificadas.

De esta forma, el CPSTIC permite proporcionar un nivel mínimo de confianza al usuario final en los productos adquiridos o servicios contratados, en base a las mejoras de seguridad derivadas del proceso de evaluación y certificación y a un procedimiento de empleo seguro.

El CPSTIC consta de dos partes: Productos y Servicios Aprobados y Productos y Servicios Cualificados. En el apartado de Productos y Servicios Aprobados se recogen aquellos productos que se consideran adecuados para el manejo de información clasificada, mientras que en el apartado de Productos y Servicios Cualificados se incluyen aquellos que cumplen los requisitos de seguridad exigidos para el manejo de información sensible en el ENS, en cualquiera de sus categorías (Alta, Media y Básica).

CCN-CERT (21/09/2020)

Catálogo de Productos y Servicios STIC (CPSTIC)