Se trata de un caso real, donde algunos ciberdelincuentes violaron puertas de acceso y se hospedaron en un servidor gubernamental de Estados Unidos durante cinco meses, el resultado fue la instrumentación de un ataque ransomware basado en Lockbit, a esto se agregó un criptominero. La investigación sugiere la participación de varios atacantes con diferentes perfiles y experiencia en múltiples áreas.
“Fue un ataque desordenado pero nuestros investigadores lograron construir una imagen puntual del caso, el cual comenzó con atacantes novatos irrumpiendo en el servidor e instalaron herramientas tanto ilegales como gratuitas. Después de cuatro meses, el ataque evolucionó, esto fue un indicador de la integración de criminales más especializados”, aclaró Andrew Brandt, investigador principal de seguridad en Sophos.
Recomendaciones de seguridad con Sophos
-Enfoque de defensa sólido y proactivo
-Herramientas de alta disponibilidad (24/7)
-Autenticación de múltiples factores
-Reglas de firewall sin acceso (RDP)
En esta segunda etapa de la amenaza, los delincuentes digitales intentaron desinstalar el software de seguridad y posteriormente robaron información e intentaron encriptar archivos de algunas máquinas conectadas al servidor. Los investigadores de Sophos descubrieron que el punto de acceso inicial se hizo en septiembre de 2021 a través de un puerto abierto de protocolo de escritorio remoto (RDP).
Fue en enero de este año cuando se detectó que los atacantes eran más puntuales en sus actividades, de hecho intentaron desinstalar las herramientas de seguridad del servidor y cifrar los archivos, lo cual no lograron hacer en su totalidad. Entre el malware que se intentó instalar destacan: Advanced Port Scanner, FileZilla, LaZagne, Mimikatz, NLBrute, Process Hacker, PuTTY, además de herramientas de acceso remoto como ScreenConnect y AnyDesk.
“Las descargas sin propósito específico, la actividad de red inusual así como una máquina que escanea todo el sistema son señales de alerta que debemos tener en cuenta. Es importante tener un enfoque de defensa en profundidad sólido, proactivo con esquemas de alta disponibilidad, tipo 24/7 para frenar este tipo de amenazas, también se recomienda emplear autenticación de múltiples factores”, concluyó Brandt.