Barracuda full logo

Los archivos del caso SOC: una banda de ransomware armada con Python resurge para enfrentarse a un muro de defensas XDR

Temas:
14 may 2025
|

El equipo de Managed XDR de Barracuda contuvo recientemente un presunto ataque de ransomware en el que los atacantes habían accedido a la red de una empresa antes de que se instalara XDR, comprometiendo varios equipos Windows y una cuenta de administrador. Para cuando los atacantes regresaron para completar el ataque, ya se había implementado un conjunto de soluciones Barracuda Managed XDR, capaces de rastrear, contener y neutralizar el ataque.

Resumen del incidente

  • En algún momento antes del despliegue de Barracuda Managed XDR, un presunto grupo de ransomware accedió a la red de la empresa vulnerable y comprometió dos máquinas y una cuenta de administrador.
  • Sin embargo, para cuando los atacantes intentaron lanzar el ataque principal, ya había un conjunto de soluciones Managed XDR en su lugar, capaces de detectar, supervisar, contener y neutralizar la actividad de ataque a pesar de la brecha preexistente.
  • Los atacantes no lograron propagarse ampliamente ni causar daños significativos, aunque crearon tareas programadas, se movieron lateralmente, infectaron más máquinas con una carga maliciosa basada en Python, contactaron con el comando y control (C2) y exfiltraron una pequeña cantidad de datos de una máquina infectada.
  • La potencia combinada de Managed XDR servidor seguridad, Endpoint seguridad y Network seguridad aisló las máquinas infectadas y compartió información de los registros del firewall que revelaron las comunicaciones y la exfiltración del C2, de modo que el cliente fue plenamente consciente de lo que había sucedido y pudo anticipar posibles consecuencias, abordar las brechas y reforzar la protección para el futuro.

Barracuda Managed XDR es un servicio de visibilidad, detección y respuesta (XDR) ampliado respaldado por un centro de operaciones de seguridad (SOC) experto que proporciona a los clientes servicios de detección, análisis y mitigación de amenazas las 24 horas del día, dirigidos por humanos e IA, para protegerse contra amenazas complejas.

Cómo se desarrolló el ataque

A las 8:33 a. m., el SOC de Barracuda detectó la creación de una tarea programada sospechosa en la red de un cliente de XDR gestionado. El equipo alertó de inmediato al cliente. Resultó ser un ataque de ransomware en desarrollo que, de hecho, había comenzado algún tiempo antes de que la empresa instalara Barracuda Managed XDR.

El grupo de ransomware logró acceder a la red, comprometiendo dos máquinas: un servidor Windows y una cuenta con privilegios administrativos.

Sin embargo, cuando los atacantes regresaron para lanzar el ataque principal, la víctima había desplegado un conjunto de servicios Barracuda Managed XDR, incluyendo Managed XDR Endpoint seguridad, seguridad de servidor y seguridad de red. Entre ellos, estos servicios fueron capaces de rastrear y contener el incidente en desarrollo.

El ataque principal

Una hora después de crear la tarea programada sospechosa, el «administrador» se movió a través de la red para infectar otros tres dispositivos con un archivo Python comprimido llamado python3.12.zip, que luego se descomprimió mediante PowerShell.

También crearon tareas programadas adicionales con nombres aleatorios como \Task_e8ixq., T\Task_258bd060, \Task_f6isq y \Task_e8ixq.

Las máquinas secuestradas ocasionalmente enviaban un ping a su servidor de comando y control (C2).

Los analistas de ciberseguridad detectaron esta actividad y pusieron en cuarentena las máquinas para evitar que siguieran interactuando con la red y propagando el ataque.

El equipo también identificó los hashes de los archivos del código malicioso y los añadió a la lista de bloqueo. Esto permitió al SOC aislar cualquier otra instancia de los archivos dentro del entorno.

Mediante los registros del firewall recopilados a través de Managed XDR Network seguridad, el equipo del SOC pudo encontrar pruebas de las comunicaciones del C2 con tres de los cinco dispositivos infectados. También descubrieron indicios de exfiltración de datos, con una pequeña cantidad de datos enviados a un destino externo desde una de las máquinas comprometidas.

En nombre del cliente, el equipo del SOC intentó aprovechar SOAR (Seguridad Automatizada y Respuesta) y Respuesta automatizada a la amenaza (ATR) para bloquear la dirección IP maliciosa asociada al servidor. Sin embargo, una mala configuración provocó que el intento de bloqueo no fuera exitoso. En su lugar, el SOC trabajó con el cliente para añadir rápidamente la lista de bloqueo directamente en su firewall.

Con el XDR gestionado, se impidió que los atacantes causaran daños reales.

Los atacantes de ransomware regresan para encontrar XDR en su camino

Lecciones aprendidas

A pesar de la violación anterior que proporcionó a los atacantes acceso a la red, el conjunto de servicios de XDR gestionados desplegados por el objetivo permitió que la actividad del ataque fuera detectada, rastreada y bloqueada.

Barracuda Managed XDR servidor seguridad detectó las tareas programadas sospechosas creadas en el servidor, y el SOC utilizó Managed XDR Endpoint seguridad para rastrear estos eventos hasta diferentes puntos finales. Además, Managed XDR Network seguridad permitió al equipo del SOC identificar las comunicaciones con la dirección IP del C2 malicioso.

Trabajando juntos, los servicios proporcionaron a la víctima previamente comprometida una protección integral que redujo drásticamente el tiempo de permanencia de los intrusos, así como los daños y las interrupciones.

Visite el sitio web para más información sobre Barracuda Managed XDR y SOC. Para obtener la información más reciente sobre las nuevas funciones, mejoras y detecciones de Barracuda Managed XDR, consulte las notas de la versión más reciente.

Por qué las tareas programadas pueden ser una señal de advertencia de seguridad

La primera alerta de seguridad en este incidente fue activada por la creación de una tarea programada sospechosa. Los atacantes de ransomware a menudo emplean tareas programadas para automatizar diversas fases del ataque, maximizando el impacto del ataque y disminuyendo las probabilidades de detección.

Los atacantes crean tareas programadas por varias razones, incluyendo:

  • Para liberar la carga útil del ransomware a una hora específica
  • Para mantener el acceso a la red, por ejemplo, programando tareas para volver a ejecutar el malware a intervalos, incluso si se detecta y se elimina
  • Para ayudar con la exfiltración sigilosa de datos, por ejemplo, recopilando y eliminando información a intervalos
  • Para desactivar el software antivirus, las protecciones de firewall o las herramientas de recuperación del sistema, lo que dificulta que el equipo de seguridad remedie o se recupere del incidente
  • Para distribuir ransomware a los dispositivos conectados a través de la red
  • Para eliminar los rastros de la actividad de ataque después del cifrado, lo que dificulta que los equipos de seguridad investiguen cómo se desarrolló el ataque
Descubra las novedades de Barracuda Managed XDR
Publicaciones relacionadas:
Radar de amenazas del SOC — mayo de 2025
Radar de amenazas del SOC — mayo de 2025
 Barracuda celebra seis premios en los SC Awards 2025 y los Global InfoSec Awards
Barracuda celebra seis premios en los SC Awards 2025 y los Global InfoSec Awards
 De días a horas: cómo Barracuda Managed XDR potencia la protección del correo electrónico para los equipos de TI ocupados.
De días a horas: cómo Barracuda Managed XDR potencia la protección del correo electrónico para los equipos de TI ocupados.
 Un análisis más detallado del ransomware Fog
Un análisis más detallado del ransomware Fog
Search the blog

Subscribe to the Barracuda Blog.

Sign up to receive threat spotlights, industry commentary, and more.

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.