Ransomware avanzado ataca servidores locales y en la nube

Microsoft ha emitido una advertencia sobre el grupo de amenazas Storm-0501, también conocido como «Sabbath». Este grupo ha cambiado sus tácticas y ahora apunta a entornos de nube híbrida, comprometiendo tanto infraestructuras locales como en la nube. Sus ataques han afectado sectores gubernamentales, educativos, manufactura, clínicas, financieras y fuerzas del orden en los Estados Unidos y Latinoamérica.

Storm-0501 ha evolucionado sus tácticas para atacar entornos de nube híbrida. Anteriormente, Storm-0501 lograba el acceso inicial a través de intrusiones facilitadas por agentes de acceso como Storm-0249 y Storm-0900, aprovechando credenciales comprometidas posiblemente robadas para iniciar sesión en el sistema de destino, o explotando varias vulnerabilidades conocidas de ejecución remota de código en servidores públicos sin parches. En una campaña reciente, Storm-0501 aprovechó vulnerabilidades conocidas en Zoho ManageEngine (CVE-2022-47966), Citrix NetScaler (CVE-2023-4966) y la aplicación ColdFusion 2016 (posiblemente CVE-2023-29300 o CVE-2023-38203). En los casos observados por Microsoft, estas técnicas de acceso inicial, combinadas con prácticas de seguridad operativa insuficientes por parte de los objetivos, proporcionaron al actor de amenazas privilegios administrativos en el dispositivo de destino.

Storm-0501: Los ataques de ransomware se expanden a entornos de nube híbrida | Blog de seguridad de Microsoft

Algunos detalles clave sobre sus métodos de ataque

  • Movimiento Lateral: Utilizan herramientas como Cobalt Strike para moverse lateralmente dentro de la red, aprovechando credenciales comprometidas.
  • Ataques Multi-etapa: Sus ataques son complejos y se desarrollan en varias etapas, comenzando con la infiltración en infraestructuras locales y extendiéndose a entornos en la nube.
  • Robo de Credenciales y Exfiltración de Datos: Además de desplegar ransomware, también se dedican al robo de credenciales y la exfiltración de datos, asegurando acceso persistente a los sistemas comprometidos.
  • Ransomware Avanzado: Han adoptado el ransomware “Embargo” escrito en Rust, que utiliza métodos de cifrado avanzados y un modelo de Ransomware como Servicio (RaaS).

Algunos detalles sobre el ransomware Embargo

  • Cifrado Avanzado: Embargo utiliza métodos de cifrado robustos para bloquear el acceso a los archivos de las víctimas. Los archivos cifrados suelen tener una extensión específica añadida, como «.564ba1».
  • Nota de Rescate: Después de cifrar los archivos, Embargo deja una nota de rescate en forma de un archivo de texto llamado “HOW_TO_RECOVER_FILES.txt”. En esta nota, se instruye a las víctimas a registrarse en un portal de los atacantes a través de un enlace de sitio onion.
  • Modelo RaaS (Ransomware-as-a-Service): Embargo opera bajo un modelo de RaaS, donde los afiliados que logran penetrar en las empresas despliegan el ransomware y comparten las ganancias con los desarrolladores.
  • Persistencia en la Nube: Una vez que Storm-0501 obtiene acceso a la infraestructura en la nube, establecen una puerta trasera persistente creando un nuevo dominio federado dentro del inquilino de Microsoft Entra. Esto les permite autenticarse como cualquier usuario cuyo ImmutableID sea conocido o establecido por ellos.

Otros tipos de ataques, grupos de ransomware y herramientas usadas

Microsoft también ha informado a los usuarios del hipervisor ESXi de VMware a tomar medidas inmediatas para protegerse de los ataques en curso de los grupos de ransomware que les dan el control administrativo total de los servidores en los que se ejecuta el producto.

La vulnerabilidad, rastreada como CVE-2024-37085, permite a los atacantes que ya han obtenido derechos limitados del sistema en un servidor objetivo obtener el control administrativo completo del hipervisor ESXi. Los atacantes afiliados a múltiples sindicatos de ransomware, incluidos Storm-0506, Storm-1175, Octo Tempest y Manatee Tempest, han estado explotando la falla durante meses en numerosos ataques posteriores al compromiso, es decir, después de que el acceso limitado ya se haya obtenido a través de otros medios.

Por lo tanto, muchos actores de amenazas de ransomware están vendiendo encriptadores ESXi como Akira, Black Basta, Babuk, Lockbit y Kuiper (Imagen)

Listado de los grupos de ransomware activos 2024

En el listado de los grupos de ransomware mas destacados, activos o sofisticados de 2024 se encuentran:

  1. LockBit 3.0
  2. Play
  3. 8Base
  4. Akira
  5. Black Basta
  6. BlackByte
  7. RansomHub
  8. Hunters International
  9. Medusa
  10. DragonForce

Listado de Vulnerabilidades mas explotadas

Estas vulnerabilidades han sido explotadas por varios grupos de ransomware para obtener acceso inicial a las redes de sus víctimas.

  1. CVE-2024-26169: Vulnerabilidad en Microsoft Windows Reporting Service.
  2. CVE-2024-1709: Vulnerabilidad en ConnectWise.
  3. CVE-2022-47966: Zoho ManageEngine
  4. CVE-2023-4966: Citrix NetScaler
  5. CVE-2023-29300 o CVE-2023-38203: Aplicación ColdFusion 2016
  6. CVE-2023-3519: Ejecución remota de código en Citrix ADC (NetScaler).
  7. CVE-2023-279970: Desbordamiento de búfer en Fortinet FortiOS.
  8. CVE-2023-46604: Ejecución remota de código en Apache ActiveMQ.
  9. CVE-2023-22515: Derivación de autenticación en Confluence Data Center y servidor.
  10. CVE-2020-1472 (ZeroLogon): Vulnerabilidad en el protocolo Netlogon de Microsoft.
  11. CVE-2021-42278 y CVE-2021-42287 (NoPac): Vulnerabilidades relacionadas con el protocolo Netlogon.
  12. CVE-2021-34527 (PrintNightmare): Vulnerabilidad en el servicio de impresión de Windows.

Listado de las herramientas de ataque utilizadas

Estas herramientas son utilizadas por los grupos de ransomware para llevar a cabo sus ataques, obtener acceso a redes, moverse lateralmente y mantener la persistencia en los sistemas comprometidos.

  1. Cobalt Strike: Herramienta de simulación de ataques utilizada para el movimiento lateral y la persistencia.
  2. Mimikatz: Herramienta para la recuperación de credenciales de Windows.
  3. Grixba: Herramienta de hacking utilizada para el reconocimiento.
  4. AlphaVSS: Utilidad para la creación de instantáneas de volúmenes.
  5. IOBit: Herramienta de optimización del sistema.
  6. AdFind: Herramienta para buscar objetos en Active Directory.
  7. BloodHound: Herramienta para el análisis de relaciones y permisos en Active Directory.
  8. GMER: Herramienta para detectar rootkits.
  9. Plink: Herramienta de conexión SSH.
  10. Process Hacker: Herramienta para la gestión de procesos y análisis de sistemas.
  11. LaZagne: Herramienta para recuperar contraseñas.
  12. SmokeLoader: Loader de malware utilizado para descargar otros programas maliciosos.
  13. SystemBC: Herramienta de proxy para ocultar la actividad maliciosa.
  14. SharpRhino: Troyano de acceso remoto utilizado en ataques recientes.
  15. SocGolish: Malware distribuido a través del envenenamiento de SEO.
  16. PsExec: Herramienta para ejecutar procesos en sistemas remotos.
  17. AnyDesk: Software de acceso remoto utilizado para obtener acceso a sistemas.
  18. WinRAR: Herramienta de compresión utilizada en ataques.
  19. WinSCP: Cliente SFTP y FTP para la transferencia de archivos.
  20. RClone: Herramienta para la sincronización de archivos en la nube.
  21. Ngrok: Herramienta para crear túneles seguros a través de NAT.
  22. Cloudflare Tunnel: Servicio para exponer aplicaciones locales a Internet.
  23. Metasploit: Framework para pruebas de penetración y explotación de vulnerabilidades.
  24. Nmap: Herramienta de escaneo de redes.
  25. AngryIPScanner: Escáner de direcciones IP.

Recomendaciones para protegerse contra Embargo y otros ransomware

Implemente una combinación de medidas preventivas y reactivas, como son:

  • Implementación de copias de seguridad regulares con esquema 3,2,1
  • Segmentación de la red y capas de protección.
  • Identificación temprana de vulnerabilidades y simulación de ataques en equipos, servidores y aplicaciones.
  • Parcheo y actualizaciones de seguridad en sistemas operativos y aplicaciones.
  • Gestión de políticas, seguimiento y monitoreo constante.
  • Concientización y capacitación de los usuarios o empleados.
  • Uso de soluciones avanzadas de detección y respuesta de amenazas.
  • Acompañamiento de soporte técnico especializado con manejo de incidentes y gestión de amenazas.


Recibe un Diagnóstico Sin Costo del estado de seguridad de tu aplicación o sitio web dando clic en el siguiente enlace: