Contexto

Ucha Fifaibra.S.L es una pequeña empresa dedicada a la instalación de infraestructura de fibra óptica en grandes corporaciones. Disponen de una única red local con una infraestructura de dominio Windows. El controlador de dominio es un Windows Server 2019 y existen cinco puestos de usuario que tienen instalado Windows 10. A mayores, disponen de un servidor web instalado sobre un Ubuntu Server 20.04 en el que se ejecuta una pequeña aplicación web a la que los operarios acceden desde fuera de la empresa para subir, previa autenticación, sus partes de trabajo escaneados. Como firewall perimetral utilizan una distribución Pfsense.

El 15 de febrero de 2023, a las 10:16 UTC, el gerente de la empresa recibe este correo electrónico anónimo:

Estimado,

Le escribo en relación con el sistema de seguridad de su computadora, que desafortunadamente no está adecuadamente protegido. Como prueba de esto, incluyo un enlace a uno de sus archivos filtrados: https://pastebin.com/aHHfCMru.

Si bien es cierto que no siempre es posible prevenir este tipo de intrusiones, lo que sí es posible es evitar que se difunda información a terceros. Y eso es exactamente lo que te estoy ofreciendo ahora mismo.

Exijo un rescate de 10 bitcoins, que deben transferirse a la siguiente billetera "1BvBMSEYstWetqTFn5Au4m4GFg7xJaNVN2". Una vez que se reciba la cantidad solicitada, eliminaré todas las copias de sus archivos y me aseguraré de que esta información no se comparta con terceros.

Si no accede a esta solicitud, no me hago responsable de las consecuencias que puedan derivarse de la difusión de esta información confidencial. Además, es probable que reciban nuevas demandas similares en el futuro, ya que su sistema de seguridad seguirá siendo vulnerable.

Espero su respuesta lo antes posible.

Atentamente, r4sput1n

Inmediatamente, la incidencia es puesta en conocimiento de INCIBE, que da a la empresa unas pautas de actuación. Una de las primeras medidas tomadas es realizar un volcado de memoria de los equipos expuestos a Internet (Ubuntu Server) y una clonación de disco de los equipos de red.

Objetivos:

Establecer una línea temporal del incidente. En particular, obtener evidencias del uso de las siguientes vulnerabilidades:

  1. Ataque fuerza bruta a SSH
  2. Enumeración de subdirectorios
  3. SQL Injection
  4. Reverse_shell
  5. Pwnkit
  6. Pivoting usando VPN sobre SSH
  7. Fuerza bruta sobre RDP
  8. LLMNR Poisoning (responder)
  9. HiveNightMare (CVE-2021-36934)
  10. Zerologon (CVE-2020-1472)

Ficheros:

  1. Imagen de disco del equipo cliente Windows
  2. Log de la extracción de la imagen de disco del cliente Windows
  3. Imagen de disco del equipo controlador de dominio
  4. Log de la extracción de la imagen de disco del controlador de dominio
  5. Imagen de disco del equipo Linux
  6. Log de la extracción de la imagen de disco del equipo Linux
  7. Log de pfsense
  8. Hash del perfil de memoria de Linux
  9. Perfil de memoria de Linux
  10. Volcado de memoria del equipo Linux
  11. Hash MD5 del volcado de memoria del equipo Linux
  12. Fichero de hashes

Datos privados:

(Enlaces sólo para personal autorizado)

  1. Datos de preparación de los ataques

Informes:

(Enlaces sólo para personal autorizado)

  1. Informe del forense