Los actores del ransomware Akira ahora pueden robar los datos de las víctimas en poco más de dos horas, lo que marca un cambio significativo en el tiempo promedio que le toma a un cibercriminal pasar del acceso inicial a la exfiltración de información.
Esto es según el equipo de Investigación e Inteligencia de Amenazas de BlackBerry, que hoy publicó un análisis detallado de un ataque de ransomware Akira en junio contra una aerolínea latinoamericana. Según el análisis del ataque realizado por BlackBerry, el actor de amenazas, utilizando el protocolo Secure Shell (SSH), obtuvo acceso inicial a través de un servidor de respaldo Veeam sin parches e inmediatamente comenzó a robar información antes de implementar el ransomware Akira al día siguiente.
El probable culpable es Storm-1567 (también conocido como Punk Spider y Gold Sahara), un prolífico usuario de la plataforma de ransomware como servicio (RaaS) Akira y el grupo que mantiene el sitio de filtración de Akira, según el informe. La pandilla es conocida por usar tácticas de doble extorsióny ha atacado a más de 250 organizaciones en múltiples industrias a nivel mundial desde que salió de las sombras en marzo de 2023. Ataca principalmente a sistemas Windows, pero ha desarrollado Variantes de Linux/VMware ESXi y siempre ha demostrado un alto nivel de destreza técnica.
Cómo se desarrolla rápidamente un ataque de ransomware
Durante el ataque a la aerolínea latinoamericana, una vez que Storm-1567 obtuvo acceso a la Servidor de respaldo Veeam (probablemente a través de CVE-2023-27532), casi de inmediato comenzó el proceso de desvío de datos, ya que su punto de entrada inicial era una ciruela jugosa llena de datos potencialmente confidenciales; el grupo no necesitó moverse lateralmente para encontrar lo que buscaban.
“Los servidores Veeam son objetivos extremadamente populares debido a su tendencia a almacenar credenciales [and other data]», dice Ismael Valenzuela, vicepresidente de investigación e inteligencia de amenazas de BlackBerry. «Incidentes pasados, como los que involucraron a FIN7, resaltan la atracción que estos ataques tienen sobre los ciberdelincuentes. Según Veeam, el 93% de los ciberataques tienen como objetivo los sistemas de almacenamiento de respaldo, lo que pone de relieve su vulnerabilidad.
Durante este ataque en particular, la pandilla accedió a datos de respaldo en la carpeta de respaldo de Veeam, incluidos documentos, imágenes y hojas de cálculo, en una apuesta a que el tesoro contendría información confidencial y valiosa que podría retenerse para pedir un rescate, según BlackBerry.
Durante el vuelo, Storm-1567 hizo mal uso de una serie de herramientas y utilidades legítimas, “vivir de la tierra” para realizar reconocimientos encubiertos, establecer persistencia y transportar datos fuera del entorno.
«Una vez dentro de la red, el atacante creó un usuario llamado ‘copia de seguridad’ y se agregó al grupo de administradores para afianzarse en el entorno», según el informe. “Luego, el atacante instaló la herramienta legítima de administración de red Advanced IP Scanner antes de escanear las subredes locales descubiertas mediante la ‘impresión de ruta’. Finalmente, los datos se filtraron a través de WinSCP, un administrador de archivos gratuito para Windows. »
La operación duró sólo 133 minutos, después de lo cual los atacantes detuvieron sus actividades por el día (curiosamente, a las 16:55 GMT/UTC, lo que sugiere que el grupo podría tener su sede en Europa Occidental, señaló BlackBerry). Pero regresaron al día siguiente (a la hora razonable de inicio de la operación, 8:40 p. m. GMT/UTC) para penetrar más profundamente en la red y desplegar el ransomware.
«El atacante realizó verificaciones de usuarios en un puñado de máquinas antes de conectarse al servidor de respaldo principal de Veeam», según el informe. “Netscan se descargó… usando Google Chrome y se usó WinRAR para descomprimirlo. Las máquinas conectadas a Active Directory han sido identificadas y agregadas a un archivo llamado ‘AdComputers.csv’. »
Mientras tanto, Storm-1567 deshabilitó la protección antivirus (AV) en el host de la máquina virtual (VM) y utilizó el Software de escritorio remoto AnyDesk para conectarse a otros sistemas en la red, explotaron varios errores no corregidos en el entorno, destruyeron todas las copias de seguridad que encontraron que hubieran facilitado la recuperación, robaron elementos de datos adicionales (como un archivo RAR del servidor web principal) y finalmente descargaron el Akira ransomware en la máquina Veeam.
«Ahora que la persistencia estaba completamente implementada, los actores de amenazas intentaron implementar el ransomware en toda la red utilizando el servidor de respaldo de Veeam como punto de control», según BlackBerry. “Vimos que el archivo “w.exe” (Akira ransomware) se implementaba en diferentes hosts del servidor Veeam comprometido. »
El tiempo de exfiltración sigue disminuyendo.
El despliegue del ransomware no tomó mucho tiempo (menos de ocho horas después del día de los atacantes), pero el esfuerzo de exfiltración de datos a la velocidad del rayo debería ser aún más una llamada de atención para las organizaciones, ya que resalta lo que ha sido un estrechamiento continuo del horizonte temporal de eventos hasta la exfiltración.
Basado en la respuesta al incidente de la Unidad 42 de Palo Alto Networks de 2024 relaciónel tiempo medio necesario para pasar del compromiso de los datos a la exfiltración fue de nueve días en 2021; este tiempo se redujo a dos días el año pasado; y en casi la mitad (45%) de los casos este año fue poco menos de 24 horas.
Esta tendencia es, por supuesto, preocupante: para los ciberdefensores, responder a un compromiso y frustrar un robo de datos en menos de 24 horas es un desafío en el mejor de los casos; hacerlo en dos horas y marcar la diferencia puede ser imposible. Y, en última instancia, es posible que las empresas ya no tengan el tiempo que necesitan; Las cajas fuertes se vaciarán incluso antes de que suenen las alarmas.
La mejor estrategia, y quizá la única, según Valanzuela, es reforzar las defensas.
“Es fundamental implementar una arquitectura de seguridad robusta, incorporando un marco de confianza cero, empezando por comprender a los adversarios potenciales”, explica. “Prácticas fundamentales como la aplicación minuciosa de parches perimetrales son esenciales porque ayudan a reconocer la vulnerabilidad de la empresa como objetivo principal de los atacantes. »
No hacerlo probablemente contribuyó significativamente a la rápida filtración de datos que experimentó la aerolínea: «Cabe señalar que este incidente pone de relieve que el vector de ataque no implica necesariamente un exploit de día cero», añadió Valanzuela.
Otras medidas básicas de higiene también serán cada vez más importantes dada la rapidez con la que los ladrones de datos están empezando a actuar. Por ejemplo, “datos de servicio [of the airline] “Fue exfiltrado a través de un puerto efímero, lo que indica que la implementación de restricciones básicas de acceso al puerto podría haber aumentado la dificultad de tales intentos de exfiltración”, señaló Valanzuela.
