Barracuda full logo

Los archivos del caso SOC: RansomHub explota el error de FortiGate en un ataque bloqueado por XDR

Temas:
20 mar 2025
|
Eric Russo

El equipo Managed XDR de Barracuda contuvo recientemente un ataque decidido y complejo de una banda de ransomware. Los atacantes habían estado intentando encontrar una forma de acceder a la red de una empresa de manufactura desde diciembre de 2024 y finalmente lo lograron explotando una vulnerabilidad expuesta en el firewall.

Resumen del incidente

  • Los atacantes intentaron acceder por primera vez mediante un ataque de fuerza bruta en diciembre de 2024, pero fueron detectados por Barracuda Managed XDR.
  • Los atacantes regresaron en enero de 2025, buscando áreas de vulnerabilidad a través de conexiones SMB orientadas al exterior.
  • Los atacantes finalmente lograron acceder a través de un firewall FortiGate vulnerable.
  • Esto les permitió eludir la autenticación, agregar y eliminar usuarios del firewall, editar la configuración de VPN e integraciones de API con XDR, antes de eliminar a todos los demás usuarios del firewall y bloquear a la víctima de su red.
  • Los atacantes intentaron desplegar el ransomware en los servidores mediante la ejecución remota de código.
  • Barracuda Managed XDR puso inmediatamente en cuarentena los dispositivos afectados, y el equipo alertó al cliente.
  • Los ingenieros de SOC trabajaron con el objetivo en la recuperación y la investigación.

El SOC es parte de Barracuda Managed XDR, un servicio de visibilidad, detección y respuesta extendidas (XDR) que ofrece a los clientes servicios de detección, análisis y mitigación de amenazas liderados por humanos y por IA las 24 horas del día para protegerlos contra amenazas complejas.

Cómo se desarrolló el ataque

Acceso inicial

  • El 10 de diciembre de 2024, Barracuda Managed XDR detectó a un adversario que intentaba forzar el acceso al firewall de un cliente usando la cuenta «admin». El ataque fue ejecutado desde una dirección IP registrada en China y conocida por ser utilizada para actividad maliciosa. El cliente fue alertado inmediatamente.
  • Los atacantes regresaron un mes después. El 3 de enero, comenzaron a explorar la red del objetivo utilizando conexiones SMB externas. Server Message Block (SMB) permite el intercambio de archivos, el uso compartido de impresoras, la navegación por la red y la comunicación entre procesos a través de una red de ordenadores. Aprovechar estas conexiones permite a un atacante buscar áreas de debilidad. Después de 10 días de esto, los atacantes parecen haberse dado por vencidos el 13 de enero.
  • Un día después, el 14 de enero, Fortinet informó que una vulnerabilidad crítica de día cero de 2024 que afectaba a los dispositivos FortiGate estaba siendo explotada activamente en el entorno. Esta vulnerabilidad, identificada como CVE-2024-55591, permite a los atacantes eludir la autenticación para obtener privilegios administrativos completos en los dispositivos vulnerables. Esto puede permitir a los atacantes cambiar la configuración del firewall, crear cuentas de administrador maliciosas, obtener acceso a redes internas y más. 
  • El objetivo tenía un firewall FortiGate vulnerable.
  • Tras sus infructuosos intentos de utilizar la fuerza bruta en el firewall y un éxito limitado con los esfuerzos de reconocimiento, el firewall vulnerable finalmente ofreció a los atacantes una forma de entrar.

El ataque principal

  • Entre el 30 de enero y el 13 de febrero, un usuario llamado «Zero» añadió dos nuevos usuarios, «Super Admin» y «Admin», al firewall FortiGate del objetivo.
  • El viernes, 14 de febrero, Barracuda Managed XDR detectó nuevos inicios de sesión de SSL-VPN provenientes de Suecia y Chicago.
  • Poco después de esto, los atacantes empezaron a modificar las políticas del firewall del objetivo, la configuración de la VPN, los perfiles de usuario locales y las integraciones de API con XDR para obtener el control total del entorno de las víctimas.
  • El domingo, 16 de febrero, los atacantes eliminaron otras cuentas de usuario y eliminaron las reglas del firewall diseñadas para bloquear el tráfico desde ciertas ubicaciones. Esto eliminó cualquier rastro de la actividad de los atacantes y dejó a la víctima sin acceso a su propia red.
  • Barracuda Managed XDR también observó que la herramienta PSExec se había instalado en el controlador de dominio y en los servidores de copia de seguridad, probablemente para permitir la ejecución remota de código y el movimiento lateral.
  • A continuación, los atacantes intentaron desplegar el ransomware RansomHub en seis servidores mediante varios ejecutables a través de la ejecución remota. Barracuda Managed XDR detectó inmediatamente esta actividad, puso en cuarentena los servidores y se puso en contacto con el cliente.
  • RansomHub es una plataforma de ransomware como servicio (RaaS) relativamente nueva pero prolífica. A finales de 2024, se había convertido en el principal grupo de ransomware. Su éxito se debe en parte a su favorable estructura de pagos, por la que los afiliados se quedan con el 90 % de los rescates obtenidos. RansomHub es un buen ejemplo de la evolución del ecosistema del ransomware, en el que los sofisticados métodos de ataque, el uso compartido y la reutilización de herramientas y recursos, y las alianzas entre ciberdelincuentes se combinan para hacer que la amenaza sea muy adaptable y difícil de combatir.
RansomHub ataque explotando el error de Fortigate

Restaurar y recuperar

  • Una vez neutralizado el incidente, los ingenieros de Respuesta ante Incidentes del SOC trabajaron con el objetivo para investigar el incidente y ayudar en la recuperación.
  • El equipo del SOC llevó a cabo una guía completa de incidentes para determinar el punto de entrada y el ciclo de vida subsiguiente del ataque.
  • La investigación completa duró alrededor de dos semanas y, una vez completada, el equipo de SOC proporcionó un informe del incidente a la organización objetivo para que pudiera abordar adecuadamente los elementos de acción restantes y las lecciones aprendidas.

Las herramientas y técnicas principales empleadas en el ataque

Herramientas y tácticas utilizadas en un ataque RansomHub

Indicadores de compromiso detectados en este ataque:

Los ejecutables que los atacantes utilizaron fueron:

  • 3e9a87df1c99c3907f4a00f4d5902380960b78dd
  • c4780dde6daaed7129c077ae3c569659296ca41f
  • e2e35e9fc1a7bcdf21124cbdaaa41572d27ed88a
  • 9664762c8b1f62c355a5a786a1a1616c73aaa764

Direcciones IP utilizadas por el actor de la amenaza:

  • 208[.]91[.]112[.]55
  • 80[.]94[.]95[.]248
  • 13[.]37[.]13[.]37

Lecciones aprendidas

Este incidente ilustra cómo los atacantes intentarán diferentes enfoques para intentar acceder a un objetivo, y una vulnerabilidad de alta gravedad sin mitigar deja a una organización extremadamente expuesta.

La mejor protección contra este tipo de ataques es una defensa integral y en capas con visibilidad integrada y extendida. Esto debería ir acompañado de un enfoque robusto en los fundamentos de la ciberseguridad.  Por ejemplo:

  • Instale siempre las actualizaciones del software de seguridad o implemente soluciones alternativas para las principales vulnerabilidades tan pronto como sea prácticamente posible.
  • Asegúrese siempre de aplicar MFA, especialmente en las cuentas de VPN que son accesibles externamente.

automatizada a amenazas y la integración de soluciones más amplias, como XDR Server Security, XDR Network Security y XDR Cloud Security, proporcionan una protección completa y pueden reducir drásticamente el tiempo de permanencia.

Para más información: BARRACUDA Managed XDR y SOC.

Lléveles la delantera a los atacantes con ciberseguridad gestionada 24 horas al día, 7 días a la semana.
Eric Russo

Eric Russo is Director of SOC Defensive Security at Barracuda.

Publicaciones relacionadas:
Respuesta automatizada a amenazas para firewalls: Para cuando detectes la amenaza, ya estás protegido.
Respuesta automatizada a amenazas para firewalls: Para cuando detectes la amenaza, ya estás protegido.
 Barracuda ha sido nombrada finalista de los Premios SC 2025 en múltiples categorías: las ofertas de Managed XDR, Protección de Correo Electrónico y Protección de Datos han sido reconocidas.
Barracuda ha sido nombrada finalista de los Premios SC 2025 en múltiples categorías: las ofertas de Managed XDR, Protección de Correo Electrónico y Protección de Datos han sido reconocidas.
 Threat Spotlight: Los buenos, los malos y los «bots grises»: los bots raspadores de IA generativa que atacan sus aplicaciones web
Threat Spotlight: Los buenos, los malos y los «bots grises»: los bots raspadores de IA generativa que atacan sus aplicaciones web
 Atlantis AIO: La gran plataforma de relleno de credenciales ‘todo en uno’
Atlantis AIO: La gran plataforma de relleno de credenciales ‘todo en uno’
Search the blog

Subscribe to the Barracuda Blog.

Sign up to receive threat spotlights, industry commentary, and more.

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.