Un proveedor de atención médica fue víctima de dos ataques cibernéticos simultáneos por parte de dos pandillas de ransomware separadas que utilizaron diferentes técnicas para explotar vulnerabilidades de seguridad sin parches en Microsoft Exchange Server al mismo tiempo, lo que incluso llevó al segundo ataque de ransomware a cifrar la nota de rescate dejada por el primero.
Detallados por los investigadores de ciberseguridad de Sophos, los ciberataques contra el proveedor de atención médica canadiense no revelado tuvieron lugar a principios de diciembre de 2021, aunque la investigación de los ataques reveló que la primera intrusión en la red tuvo lugar meses antes, en agosto.
Es probable que este primer compromiso haya sido por parte de un intermediario de acceso inicial, un ciberdelincuente que busca vulnerabilidades en las redes, las compromete y vende el acceso a otros en foros clandestinos.
VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)
Si bien ambas campañas explotaron las vulnerabilidades de ProxyShell en la plataforma Exchange de Microsoft (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207), las dos pandillas de ransomware lo hicieron de diferentes maneras.
El primer grupo de ransomware que reveló su ataque, identificado como Karma, accedió a la red el 30 de noviembre y se conectó con una cuenta de administrador desde una estación de trabajo comprometida a través de las funciones del Protocolo de escritorio remoto (RDP). Luego, utilizaron la herramienta de prueba de penetración Cobalt Strike y las balizas PowerShell para ayudar a obtener acceso adicional a la red comprometida.
Los atacantes de Karma también accedieron al servidor vulnerable a través de RDP para robar más de 52 GB de datos antes de lanzar una nota de rescate en más de 20 computadoras el 3 de diciembre. Los ciberdelincuentes notaron que no encriptaron las máquinas porque la víctima era una organización de atención médica. , pero exigieron el pago de un rescate por la devolución de los datos robados.
Pero mientras esto sucedía, la red ya estaba comprometida por un ciberataque separado y no relacionado por parte de Conti, una de las pandillas de ransomware más notorias, responsable de una serie de ataques de alto perfil.
Conti en realidad obtuvo acceso a la red antes que Karma, dejando caer un exploit ProxyShell para obtener acceso al mismo servidor el 25 de noviembre. La siguiente etapa siguió el 1 de diciembre cuando un atacante usó una cuenta de administrador local pirateada para descargar e instalar balizas Cobalt Strike y ejecutar PowerShell para el movimiento lateral por la red y la recopilación de datos.
Los atacantes de Conti también explotaron las credenciales RDP comprometidas en la siguiente etapa del ataque, para cargar todos los datos robados de los servidores. Al igual que Karma, esto ascendió a 52 GB de archivos, que se cargaron en el almacenamiento en la nube.
Después de que se robaron los datos, la carga útil del ransomware Conti se eliminó de los servidores comprometidos, cifrando los datos de la organización de atención médica por segunda vez, incluidas las notas de rescate anteriores dejadas por Karma.
«Ser atacado por un ataque dual de ransomware es un escenario de pesadilla para cualquier organización. A lo largo de la línea de tiempo estimada, hubo un período de alrededor de cuatro días en los que los atacantes Conti y Karma estuvieron simultáneamente activos en la red del objetivo, moviéndose entre sí», dijo. Sean Gallagher, investigador sénior de amenazas en Sophos.
VER: Los investigadores de seguridad detectan otra forma de malware de limpiaparabrisas
Los investigadores no han detallado públicamente cómo se resolvieron los ataques de ransomware, pero tanto Karma como Conti explotaron vulnerabilidades en Microsoft Exchange que surgieron meses antes del compromiso inicial de la red. Si la organización hubiera podido aplicar las actualizaciones de seguridad relevantes de manera más urgente, los ciberdelincuentes no habrían podido explotar Microsoft Exchange como vector de ataque en primer lugar.
A pesar de que se implementó el monitoreo de la red y cierta protección contra malware, ambos conjuntos de atacantes pudieron operar dentro de la red sin ser detectados, un recordatorio de que los equipos de seguridad de la información deben estar atentos a comportamientos potencialmente sospechosos para ayudar a prevenir incidentes cibernéticos completos.
«La defensa en profundidad es vital para identificar y bloquear a los atacantes en cualquier etapa de la cadena de ataque, mientras que la búsqueda de amenazas proactiva y dirigida por humanos debe investigar todo comportamiento potencialmente sospechoso, como inicios de sesión inesperados en servicios de acceso remoto o el uso de herramientas legítimas fuera el patrón normal, ya que podrían ser señales de advertencia tempranas de un ataque de ransomware inminente», dijo Gallagher.
