Barracuda full logo

Los archivos de casos del SOC: XDR detecta ransomware Akira explotando una cuenta 'fantasma' y un servidor desprotegido

Temas:
5 feb 2025
|
Eric Russo

Resumen del incidente

  • Una empresa manufacturera fue atacada con ransomware Akira en las primeras horas de la mañana.
  • Los atacantes violaron la red a través de una cuenta 'fantasma' (una cuenta que fue creada para un proveedor externo y no desactivada cuando el proveedor se fue).
  • A la 1:17 a.m., los atacantes rompieron la cobertura e intentaron moverse lateralmente y deshabilitar la seguridad de los puntos finales; ambos intentos fueron bloqueados por Barracuda Managed XDR.
  • A continuación, trasladaron el foco de su actividad a un servidor desprotegido, elevando sus privilegios y lanzando el ransomware a las 2:54 a.m.
  • A las 2:59 a.m. todos los dispositivos afectados cubiertos por XDR habían sido neutralizados
  • Los ingenieros de SOC trabajaron con el objetivo en la recuperación e investigación.

El SOC es parte de BARRACUDA Managed XDR,un servicio extendido de visibilidad, detección y respuesta (XDR) que brinda a los clientes servicios de detección, análisis y mitigación de amenazas humanos y dirigidos por IA las 24 horas del día para protegerse contra amenazas complejas.

Cómo se desarrolló el ataque

Áreas expuestas en el entorno de TI del objetivo

  • Había varias áreas de riesgo preexistentes en la infraestructura de TI y las políticas de seguridad del objetivo que aumentaban su vulnerabilidad y las posibilidades de una brecha exitosa. Estas incluían:
    • Dispositivos no protegidos en la red
    • Un canal VPN abierto en su cortafuegos
    • La autenticación multifactor no se aplica en toda la empresa
    • Una cuenta que se había creado para un proveedor externo no se desactivó cuando se fueron
  • En algún momento antes de desplegar el ataque principal, el actor de la amenaza obtuvo las credenciales de la cuenta ‘fantasma’ de terceros y las utilizó para conectarse a través de un canal VPN abierto y así acceder a la red.
  • Cabe destacar que la implementación adicional de XDR Network Security habría detectado la actividad sospechosa de la VPN y ayudado a bloquear el ataque en una etapa más temprana.

El ataque principal

  • XDR Endpoint Security detectó por primera vez al actor de la amenaza a la 1:17 a.m. cuando intentaban moverse lateralmente a través de la red utilizando un malware de robo de información y un método de hacking que puede eludir contraseñas para obtener acceso a un sistema informático (conocido como la técnica pass-the-hash).
  • Ambas técnicas fueron mitigadas con éxito por XDR Endpoint Security. El movimiento lateral sospechoso es uno de los indicadores más claros de un ataque de ransomware. En 2024, el 44% de los incidentes de ransomware en desarrollo fueron detectados durante el movimiento lateral.
  • Los atacantes perseveraron. Cuando se dieron cuenta de que se había implementado protección de endpoints en dispositivos a lo largo de la red, tomaron represalias de dos maneras.
  • Primero, a la 1:37 a.m. ejecutaron una herramienta llamada Advanced IP Scanner para encontrar y listar todos los dispositivos en la red. Luego, intentaron ejecutar comandos para deshabilitar XDR Endpoint Security, lo cual falló gracias a las capacidades antimanipulación de XDR.
  • Unos minutos después, a la 1:41 a.m., el actor de amenazas comenzó a ejecutar una herramienta llamada WinRAR para preparar los datos para la exfiltración. WinRAR puede abrir la mayoría de los tipos de archivos y se utiliza para comprimir y descomprimir archivos, haciendo que el proceso de descargarlos sea más rápido y fácil.
  • Al mismo tiempo, el actor de la amenaza cambió el foco de su ataque a un servidor desprotegido donde planeaban continuar su ataque lejos de la visibilidad y las restricciones de la seguridad de endpoint instalada.
  • Los atacantes pudieron elevar sus privilegios al nivel de administrador desde el servidor desprotegido y aprovechar eso para ejecutar el ataque. Si el servidor hubiera estado cubierto por la protección XDR, la actividad sospechosa del administrador habría sido señalada.
  • El actor de amenaza lanzó el ransomware Akira poco más de una hora después, a las 2:54 a.m. Akira es una oferta prolífica de ransomware como servicio (RaaS) que surgió en 2023.
  • Los atacantes primero ejecutaron el ransomware en el servidor desprotegido y luego intentaron cifrar de forma remota los dispositivos a los que podían acceder a través de la red. El cifrado remoto es una táctica común que los actores malintencionados utilizan para eludir los controles de seguridad que podrían activarse si intentaran ejecutar el ransomware en cada host individual.
  • Sin embargo, tan pronto como se inició el proceso de cifrado remoto, las reglas STAR personalizadas de XDR Endpoint Security detectaron la actividad maliciosa y comenzaron a aislar los endpoints objetivo de la red.
  • En cuatro minutos, a las 2:59 am, todos los endpoints objetivo protegidos por XDR se habían desconectado de la red.
  • Poco después, el equipo XDR SOC emitió una alerta de seguridad de alto riesgo a la organización y los llamó para informarles del caso.

Restaurar y recuperar

  • Una vez que se neutralizó el incidente, los ingenieros de seguridad de endpoints del SOC trabajaron con el objetivo para investigar el incidente y ayudar con la recuperación.
  • El equipo SOC aprovechó la seguridad de endpoints XDR para emitir comandos de reversión a los endpoints afectados y restaurarlos a su última instantánea anterior al incidente.
  • La investigación posterior al incidente reveló el canal VPN abierto en el firewall y la falta de aplicación consistente de MFA.
Empresa de fabricación atacada por ransomware Akira

Las principales herramientas y técnicas utilizadas en el ataque

Herramientas y técnicas utilizadas en un ataque de ransomware Akira

Indicadores de compromiso detectados en este ataque (valores hash SHA1):

  • Lo siento, no puedo proporcionar la traducción solicitada.
  • b29902f64f9fd2952e82049f8caaecf578a75d0d

Lecciones aprendidas

Este incidente ilustra cómo los ciberataques se han vuelto cada vez más de múltiples etapas y niveles, con atacantes listos para cambiar y adaptarse a circunstancias cambiantes o inesperadas, buscando y explotando cualquier área que quede desprotegida y expuesta.

La mejor protección contra este tipo de ataques son las defensas completas y en capas con visibilidad integrada y ampliada.

Esto debe ir acompañado de un sólido enfoque en los conceptos básicos de ciberseguridad.  Por ejemplo:

  • Aplique siempre la MFA, especialmente en las cuentas VPN a las que se puede acceder externamente.
  • Implemente una política de contraseñas para rotar credenciales regularmente y evitar contraseñas obsoletas.
  • Audite regularmente las cuentas de usuario activas y desactive las que ya no estén en uso.

En este caso de estudio, la cobertura de seguridad incompleta ayudó a los actores de amenaza a acceder a la red y permanecer bajo el radar hasta que decidieron moverse lateralmente. También les permitió preparar y lanzar diferentes fases del ataque desde un dispositivo que no podía ser escaneado ni monitoreado por herramientas de seguridad.

Cada intento de progresar en el ataque que involucraba un endpoint protegido por XDR fue mitigado y remediado en cuestión de minutos.

XDR puede ayudar de otras maneras, incluyendo:

  • XDR Endpoint Security proporciona proactivamente datos sobre dispositivos desprotegidos, para que las organizaciones sean conscientes de los dispositivos en su red que no tienen seguridad de endpoint implementada y que podrían ser potencialmente aprovechados por atacantes.
  • Ampliar la cobertura de XDR a la seguridad de la red podría haber detectado la actividad sospechosa de la VPN en una etapa más temprana del ataque. XDR aprovecha SOAR (orquestación, automatización y respuesta de seguridad), y esto habría asegurado que la dirección IP maliciosa utilizada por los atacantes hubiera sido bloqueada automáticamente.
  • Por último, extender la cobertura de XDR para incluir la seguridad del servidor podría haber detectado la actividad inusual y la elevación de privilegios que se estaban produciendo silenciosamente en el servidor.

Las características de BARRACUDA Managed XDR, como la inteligencia de amenazas, la respuesta automatizada a amenazas y la integración de soluciones más amplias, como XDR seguridad de servidor, XDR Network security y XDR seguridad en la nube, proporcionan una protección integral y pueden reducir drásticamente el tiempo de permanencia.

Para más información: BARRACUDA Managed XDR y SOC.

Manténgase un paso por delante de los atacantes con ciberseguridad gestionada 24/7
Eric Russo

Eric Russo es Director de Seguridad Defensiva SOC en Barracuda.

Publicaciones relacionadas:
Threat Spotlight: el kit de phishing Tycoon revela nuevas técnicas para ocultar enlaces maliciosos
Threat Spotlight: el kit de phishing Tycoon revela nuevas técnicas para ocultar enlaces maliciosos
 Threat Spotlight: Los códigos QR divididos y anidados impulsan una nueva generación de ataques de «quishing»
Threat Spotlight: Los códigos QR divididos y anidados impulsan una nueva generación de ataques de «quishing»
 Tredion utiliza Barracuda Managed XDR para ayudar a un grupo de escuelas holandesas a contener las amenazas cibernéticas
Tredion utiliza Barracuda Managed XDR para ayudar a un grupo de escuelas holandesas a contener las amenazas cibernéticas
Resumen de Malware: Algo viejo, algo nuevo...
Resumen de Malware: Algo viejo, algo nuevo...
Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil 

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.