Barracuda full logo

Los archivos de caso SOC: RansomHub explota el error de FortiGate en un ataque bloqueado por XDR

Temas:
20 mar 2025
|
Eric Russo

El equipo de Managed XDR de BARRACUDA contuvo recientemente un ataque determinado y complejo por parte de una banda deRansomware. Los atacantes llevaban desde diciembre de 2024 intentando encontrar una forma de entrar en la red de una empresa manufacturera y finalmente lo lograron explotando una vulnerabilidad Firewall expuesta.

Resumen del incidente

  • Los atacantes intentaron acceder por primera vez a través de un ataque de fuerza bruta en diciembre de 2024, pero fueron detectados por BARRACUDA Managed XDR.
  • Los atacantes regresaron en enero de 2025, buscando áreas de debilidad a través de conexiones SMB externas.
  • Los atacantes finalmente lograron acceder a través de un FirewallFortiGate vulnerable.
  • Esto les permitió eludir la autenticación, agregar y eliminar usuarios del Firewally editar la configuración de VPN y las integraciones de API con XDR, antes de eliminar a todos los demás usuarios del Firewall y bloquear a las víctimas de su red.
  • Los atacantes intentaron desplegar el Ransomware en el servidor mediante la ejecución remota de código.
  • Los dispositivos afectados fueron puestos en cuarentena inmediatamente por BARRACUDA Managed XDR, y el equipo alertó al cliente.
  • Los ingenieros de SOC trabajaron con el objetivo en la recuperación y la investigación.

El SOC es parte de BARRACUDA Managed XDR,un servicio extendido de visibilidad, detección y respuesta (XDR) que brinda a los clientes servicios de detección, análisis y mitigación de amenazas humanos y dirigidos por IA las 24 horas del día para protegerse contra amenazas complejas.

Cómo se desarrolló el ataque

Acceso inicial

  • El 10 de diciembre de 2024, BARRACUDA Managed XDR detectó a un adversario que intentaba forzar la Firewall de un cliente utilizando la cuenta "admin". El ataque se ejecutó desde una dirección IP registrada en China y conocida por ser utilizada para actividades maliciosas. Los Clientes fueron alertados de inmediato.
  • Los atacantes regresaron un mes después. El 3 de enero, comenzaron a explorar la red del objetivo aprovechando las conexiones SMB externas. servidor Message Block (SMB) permite compartir archivos, compartir impresoras, navegar por la red y comunicarse de proceso a proceso a través de una red de ordenador. Aprovechar estas conexiones permite a un atacante buscar áreas de debilidad. Después de 10 días de esto, los atacantes parecen haberse rendido el 13 de enero.
  • Un día después, el 14 de enero, Fortinet informó que una vulnerabilidad crítica de día cero de 2024 que afectaba a los dispositivos FortiGate estaba siendo explotada activamente en la naturaleza. Esta vulnerabilidad, rastreada como CVE-2024-55591, permite a los atacantes eludir la autenticación para obtener privilegios administrativos completos en dispositivos vulnerables. Esto puede permitir a los atacantes cambiar Firewall configuración, crear cuentas de administrador maliciosas, obtener acceso a redes internas y más.  
  • El objetivo tenía un FortiGate vulnerable Firewall.
  • Después de sus intentos infructuosos de forzar la fuerza bruta del Firewall y el éxito limitado con los esfuerzos de reconocimiento, los vulnerables Firewall finalmente ofrecieron a los atacantes una forma de entrar.

El ataque principal

  • Entre el 30 de enero y el 13 de febrero, un usuario con el nombre de "Zero" agregó dos nuevos usuarios, "Super Admin" y "Admin" al FirewallFortiGate del objetivo.
  • El viernes 14 de febrero, BARRACUDA Managed XDR detectó nuevos inicios de sesión deVPN SSL procedentes de Suecia y Chicago.
  • Poco después de esto, los atacantes comenzaron a editar las políticas de Firewall del objetivo, la configuración de VPN , los perfiles de usuario local y las integraciones de API con XDR para obtener el control total del entorno de las víctimas.
  • El domingo 16 de febrero, los atacantes eliminaron las cuentas de otros usuarios y eliminaron Firewall reglas diseñadas para bloquear el tráfico desde ciertos lugares. Esto borró cualquier rastro de la actividad de los atacantes y bloqueó a las víctimas fuera de su propia red.
  • BARRACUDA Managed XDR también vio que la herramienta PSExec se había instalado en el controlador de dominio y copia de seguridad servidor, probablemente para permitir la ejecución remota de código y el movimiento lateral.
  • Luego, los atacantes intentaron implementar la Ransomware de RansomHub en seis servidores utilizando múltiples ejecutables a través de la ejecución remota. BARRACUDA Managed XDR detectó inmediatamente esta actividad, puso en cuarentena el servidor y se puso en contacto con el cliente.
  • RansomHub es una plataforma de Ransomwarecomo servicio (RaaS) relativamente nueva pero prolífica. A finales de 2024 se había convertido en el grupo líder Ransomware . Su éxito se debe en parte a su estructura de pago favorable, en la que los afiliados se quedan con el 90% de los rescates asegurados. RansomHub es un buen ejemplo de la evolución del ecosistema para Ransomware, donde los sofisticados métodos de ataque, el intercambio y la reutilización de herramientas y recursos, y las asociaciones con ciberdelincuentes se combinan para hacer que la amenaza sea altamente adaptable y difícil de combatir.
RansomHub ataque explotando el error de Fortigate

Restaurar y recuperar

  • Una vez que se neutralizó el incidente, los ingenieros de Respuesta ante incidentes del SOC trabajaron con el objetivo para investigar el incidente y ayudar con la recuperación.
  • El equipo del SOC llevó a cabo una guía completa de incidentes para establecer el punto de entrada y el ciclo de vida del ataque subsiguiente.
  • La investigación completa duró alrededor de dos semanas y, una vez completada, el equipo de SOC proporcionó un informe del incidente a la organización objetivo para que pudieran abordar adecuadamente los elementos de acción restantes y las lecciones aprendidas.

Las principales herramientas y técnicas utilizadas en el ataque

Herramientas y tácticas utilizadas en un ataque RansomHub

Indicadores de Compromiso detectados en este ataque:

Los ejecutables utilizados por los atacantes fueron:

  • 3e9a87df1c99c3907f4a00f4d5902380960b78dd
  • c4780dde6daaed7129c077ae3c569659296ca41f
  • e2e35e9fc1a7bcdf21124cbdaaa41572d27ed88a
  • 9664762c8b1f62c355a5a786a1a1616c73aaa764

Direcciones IP utilizadas por el actor de la amenaza:

  • 208[.]91[.]112[.]55
  • 80[.]94[.]95[.]248
  • 13[.]37[.]13[.]37

Lecciones aprendidas

Este incidente ilustra cómo los atacantes intentarán diferentes enfoques para tratar de obtener acceso a un objetivo, y una vulnerabilidad de alta gravedad sin paliativos deja a una organización extremadamente expuesta.

La mejor protección contra este tipo de ataques son las defensas completas y en capas con visibilidad integrada y ampliada. Esto debe ir acompañado de un sólido enfoque en los conceptos básicos de ciberseguridad.  Por ejemplo:

  • Instale siempre actualizaciones de software de seguridad o implemente soluciones alternativas para las vulnerabilidades clave, tan pronto como sea posible.
  • Aplique siempre la MFA, especialmente en las cuentas VPN a las que se puede acceder externamente.

Las características de BARRACUDA Managed XDR, como la inteligencia de amenazas, la respuesta automatizada a amenazas y la integración de soluciones más amplias, como XDR seguridad de servidor, XDR Network security y XDR seguridad en la nube, proporcionan una protección integral y pueden reducir drásticamente el tiempo de permanencia.

Para más información: BARRACUDA Managed XDR y SOC.

Lléveles la delantera a los atacantes con ciberseguridad gestionada 24 horas al día, 7 días a la semana.
Eric Russo

Eric Russo es Director de Seguridad Defensiva SOC en Barracuda.

Publicaciones relacionadas:
Radar de amenazas de correo electrónico – Junio de 2025
Radar de amenazas de correo electrónico – Junio de 2025
 Una nueva investigación empresarial global muestra cómo la proliferación de la seguridad aumenta el riesgo
Una nueva investigación empresarial global muestra cómo la proliferación de la seguridad aumenta el riesgo
 Cl0p ransomware: El invasor sucio que muerde mientras duermes
Cl0p ransomware: El invasor sucio que muerde mientras duermes
 Los archivos del caso SOC: una banda de ransomware armada con Python resurge para enfrentarse a un muro de defensas XDR
Los archivos del caso SOC: una banda de ransomware armada con Python resurge para enfrentarse a un muro de defensas XDR
Search the blog

Subscribe to the Barracuda Blog.

Sign up to receive threat spotlights, industry commentary, and more.

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.