Vulnerabilidad en TeamCity de JetBrains Desencadena Ataques de Ransomware y Minería de Criptomonedas
En el ámbito de la ciberseguridad, los recientes fallos en la seguridad del software TeamCity de JetBrains han provocado un incremento de ataques maliciosos, incluyendo la implementación de ransomware, mineros de criptomonedas, beacons de Cobalt Strike y un troyano de acceso remoto basado en Golang conocido como Spark RAT.
Explotación de la Vulnerabilidad CVE-2024-27198
La explotación de la vulnerabilidad CVE-2024-27198 (con un puntaje CVSS de 9.8) permite a los atacantes eludir las medidas de autenticación y tomar control administrativo de los servidores afectados. Según un informe reciente de Trend Micro, una vez que los atacantes obtienen acceso, pueden instalar malware capaz de comunicarse con su servidor de comando y control (C&C) para ejecutar comandos adicionales, tales como la implementación de beacons de Cobalt Strike y troyanos de acceso remoto (RATs). El ransomware puede ser desplegado como carga final para cifrar archivos y exigir pagos de rescate a las víctimas.
Ataques Actuales y Recomendaciones
Tras la divulgación pública de la falla, actores maliciosos asociados con las familias de ransomware BianLian y Jasmin han estado explotando esta vulnerabilidad, además de emplear el minero de criptomonedas XMRig y Spark RAT. Se recomienda a las organizaciones que utilicen TeamCity para sus procesos de CI/CD que actualicen su software lo antes posible para protegerse contra posibles amenazas.
Panorama Actual de Ransomware
El desarrollo de nuevas cepas de ransomware como DoNex, Evil Ant, Lighter, RA World y WinDestroyer subraya la persistente y lucrativa naturaleza del ransomware. A pesar de las acciones de las fuerzas del orden contra grupos cibercriminales notorios como LockBit, estos continúan reclutando afiliados.
WinDestroyer es especialmente notable por su capacidad para cifrar archivos y hacer que los sistemas afectados sean inoperables sin posibilidad de recuperación de datos, lo que sugiere posibles motivaciones geopolíticas detrás de los atacantes. La naturaleza de los programas de afiliados de ransomware-as-a-service (RaaS), donde los actores colaboran con múltiples operadores, complica aún más la lucha contra estos delitos.
Estadísticas y Colaboraciones Maliciosas
El Centro de Quejas de Delitos en Internet (IC3) del FBI reportó 2,825 infecciones de ransomware en 2023, resultando en pérdidas ajustadas de más de 59.6 millones de dólares. De estos, 1,193 incidentes afectaron a organizaciones de sectores de infraestructura crítica. Las principales variantes de ransomware que impactaron infraestructuras críticas en Estados Unidos incluyen LockBit, BlackCat, Akira, Royal y Black Basta.
La colaboración entre diferentes grupos de ransomware aumenta la sofisticación de los ataques. Estos partenariados se manifiestan en la forma de “grupos fantasma”, donde una operación de ransomware subcontrata sus habilidades a otra, como en los casos de Zeon, LockBit y Akira.
Continuidad de las Operaciones y Técnicas de Evitación de Detección
Los informes de Symantec y del grupo NCC destacan que la actividad de ransomware sigue en aumento a pesar de una reducción en el número de ataques reportados hacia finales de 2023. Sin embargo, los pequeños operadores de RaaS están llenando el vacío dejado por los grandes operadores abatidos gracias a su agilidad en foros y mercados clandestinos.
Las técnicas de evasión de detección desempeñan un papel clave en la permanencia de los ataques de ransomware. Los atacantes utilizan cada vez más software legítimo y técnicas de “vivir de la tierra” (LotL). Utilidades como TrueSightKiller, GhostDriver y Terminator que emplean la técnica de “Llevar su propio controlador vulnerable” (BYOVD) son populares entre los ataques de ransomware.
Recomendaciones Finales
Dada la cantidad de controladores vulnerables conocidos, es crucial que las organizaciones mantengan actualizadas sus soluciones de seguridad y monitoreen constantemente los vectores de ataque emergentes. Herramientas como Defender Control, Process Hacker y GMER son utilizadas por ransomware como LockBit, Mimic, Phobos Royal y Ryuk para desactivar productos de seguridad, lo que subraya la necesidad de estrategias de defensa robustas y versátiles.
Para más información, consulte la fuente original The Hacker News.