La multinacional Sophos dio a conocer que publicó los hallazgos de una investigación que detalla cómo los atacantes violaron las puertas de acceso y pasaron hasta cinco meses dentro de un servidor gubernamental de Estados Unidos, previo a la implementación de un ataque de ransomware.
Así mismo, la investigación detalla la forma en la que los atacantes también instalaron un criptominero antes de robar datos e implementar el ransomware Lockbit. La investigación sugiere que varios atacantes de diversos niveles de experiencia se infiltraron en dicho servidor vulnerable, antes de que éste fuera contenido e investigado por el equipo de respuesta a incidentes de la firma.
Andrew Brandt, investigador principal de seguridad de Sophos, dijo que “fue un ataque muy desordenado. Trabajando junto con el objetivo, los investigadores pudieron construir una imagen que comenzó con lo que parecen ser atacantes novatos que irrumpieron en el servidor, hurgaron en la red y usaron el servidor comprometido para buscar en Google una combinación de versiones pirateadas y gratuitas de piratas informáticos y legítimos”.
Alrededor de cuatro meses después, la naturaleza de la actividad de ataque cambió, en algunos casos tan drásticamente que sugiere que algunos atacantes con habilidades muy diferentes se habían unido. Estos atacantes intentaron desinstalar el software de seguridad. Eventualmente robaron datos y cifraron archivos en varias máquinas al implementar el ransomware Lockbit.
Los investigadores descubrieron que el punto de acceso inicial para este ataque, que data de septiembre del 2021, fue un puerto abierto de protocolo de escritorio remoto (RDP). Luego usaron un navegador del servidor vulnerado para buscar en línea las herramientas que usarían, e intentaron instalarlas.
En algunos casos, la búsqueda de herramientas llevó a los atacantes a sitios de descarga dudosos que enviaban un adware al servidor vulnerado, en lugar de las herramientas que estaban buscando. La investigación muestra que los comportamientos de los atacantes cambiaron significativamente a mediados de enero, con signos de actividad más hábil y enfocada. Estos atacantes intentaron eliminar el criptominero malicioso y desinstalar el software de seguridad, aprovechando el hecho de que el objetivo había dejado inadvertidamente una función de protección desactivada después de completar el mantenimiento, entre otros.
Luego, los atacantes recopilaron y extrajeron datos, para así implementar el ransomware Lockbit. El ataque de ransomware tuvo un éxito limitado y los entes maliciosos no pudieron cifrar los datos en algunas máquinas.
Según el especialista, “un enfoque de defensa en profundidad sólido, proactivo, las 24 horas del día, los 7 días de la semana ayudará a evitar que un ataque de este tipo se arraigue y se desarrolle. El primer paso es tratar de evitar que los atacantes tengan acceso a una red implementando la autenticación de múltiples factores y configurando reglas de firewall para bloquear el acceso remoto a los puertos RDP en ausencia de una conexión VPN”.
