AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Campaña de Interlock Ransomware Utiliza Sitios Web Legítimos para Distribuir RATs y Comprometer Empresas

admin

#### Introducción

En las últimas semanas, se ha detectado una sofisticada campaña de amenazas persistentes avanzadas (APT) dirigida por el grupo de ransomware Interlock. Esta operación está utilizando sitios web legítimos como vectores de infección para distribuir troyanos de acceso remoto (RATs), permitiendo a los atacantes tomar control total de los dispositivos de sus víctimas. La campaña representa una evolución significativa en las tácticas de distribución de malware, incrementando tanto el alcance como la dificultad de detección y mitigación para equipos de ciberseguridad.

#### Contexto del Incidente

El grupo Interlock, conocido por sus operaciones de ransomware orientadas a la extorsión y al robo de datos, ha adoptado un enfoque innovador en el delivery de sus herramientas maliciosas. Según los análisis realizados por varios CERT europeos y firmas de threat intelligence, la campaña activa desde mayo de 2024 explota sitios web comprometidos o vulnerables —principalmente de empresas medianas y grandes con buena reputación— para diseminar cargas útiles de RATs como parte de la primera fase de intrusión.

Esta estrategia aprovecha la confianza inherente que los usuarios depositan en dominios legítimos y reduce drásticamente la eficacia de los mecanismos tradicionales de filtrado de URLs y reputación. Las organizaciones del sector financiero, industrial y tecnológico están entre las más afectadas, aunque se han detectado incidentes también en entidades gubernamentales y proveedores de servicios críticos.

#### Detalles Técnicos

##### Vulnerabilidades y Vectores de Ataque

El vector inicial suele ser un ataque de watering hole, en el que los atacantes inyectan código malicioso (principalmente JavaScript ofuscado) en páginas legítimas vulnerables. El código compromete la seguridad del navegador de la víctima para descargar y ejecutar un RAT. Se han identificado variantes de NetSupport Manager, Remcos y AsyncRAT como payloads principales.

El código malicioso aprovecha vulnerabilidades conocidas en gestores de contenido (WordPress, Joomla, Drupal) y plugins desactualizados (CVE-2024-29856, CVE-2023-1447). Una vez comprometido el endpoint, se establece una conexión C2 (Command and Control) cifrada mediante HTTPS, dificultando la detección por IDS/IPS tradicionales.

##### Herramientas y TTPs

– **Frameworks utilizados:** Metasploit para explotación inicial, Cobalt Strike para movimiento lateral y persistencia.
– **TTP MITRE ATT&CK relevantes:**
– T1189 (Drive-by Compromise)
– T1204 (User Execution)
– T1059 (Command and Scripting Interpreter)
– T1071.001 (Web Protocols)
– **Indicadores de Compromiso (IoC):**
– Dominios C2 recientemente registrados, con certificados SSL autofirmados.
– Hashes de archivos RAT conocidos y firmas YARA específicas para Interlock.
– Tráfico de red anómalo hacia rutas /admin o /login no habituales.

##### Explotación y Fases

Tras la ejecución inicial del RAT, los atacantes realizan reconocimiento interno, exfiltración de credenciales y despliegue de ransomware Interlock en segmentos críticos de red. En algunos casos, se observan técnicas Living-off-the-Land (LOLbins) para evadir EDR y mecanismos de sandboxing.

#### Impacto y Riesgos

El impacto es considerable: se estima que más de 2.500 organizaciones en Europa y Norteamérica han sido afectadas, con tasas de infección superiores al 18% en sectores industriales. El despliegue del ransomware suele ir precedido de un período de persistencia en la red, lo que maximiza el daño potencial y la superficie de ataque.

Entre los riesgos principales destacan:

– **Pérdida de control total del endpoint afectado.**
– **Exfiltración de credenciales y documentos sensibles.**
– **Interrupción operativa debido al cifrado masivo de archivos (ransomware).**
– **Sanciones regulatorias por violación de la GDPR y NIS2.**
– **Daños reputacionales y costes económicos asociados (el rescate medio solicitado por Interlock supera los 500.000€).**

#### Medidas de Mitigación y Recomendaciones

– **Actualización inmediata** de todos los CMS y plugins a las versiones más recientes.
– **Segmentación de red** y limitación de privilegios para reducir el movimiento lateral.
– **Despliegue de EDR/XDR** con reglas específicas para la detección de RATs y uso de LOLbins.
– **Monitorización del tráfico HTTPS** saliente con análisis de comportamiento.
– **Análisis periódico de IoCs** y actualización de listas de bloqueo en perimeter firewalls y proxies.
– **Simulación de ataques** (red teaming) para validar la resiliencia de las defensas ante TTPs de Interlock.

#### Opinión de Expertos

Expertos del sector, como José Luis Navarro (CISO de una multinacional tecnológica), señalan que “el uso de sitios legítimos como plataforma de distribución incrementa la sofisticación y el riesgo de estas campañas, haciendo imprescindible una vigilancia proactiva y el uso de inteligencia de amenazas en tiempo real”.

Por su parte, representantes de ENISA y el CCN-CERT advierten que este modelo de ataque se alinea con las tendencias observadas en 2024, donde el ransomware-as-a-service (RaaS) y la explotación de la cadena de suministro son las principales amenazas para la resiliencia digital europea.

#### Implicaciones para Empresas y Usuarios

Las empresas deben revisar y endurecer sus políticas de seguridad, especialmente en lo relativo a la gestión de vulnerabilidades y concienciación del usuario. Las auditorías de seguridad periódicas y la integración de threat intelligence como servicio (TIaaS) se están convirtiendo en prácticas recomendadas.

A nivel de usuario, la formación en ciberhigiene y la desconfianza ante descargas o ejecuciones inesperadas, incluso en sitios de confianza, son esenciales para frenar estas campañas.

#### Conclusiones

La campaña de Interlock representa un salto cualitativo en la distribución de ransomware y RATs, combinando técnicas avanzadas de evasión y explotación de confianza en sitios legítimos. La colaboración entre equipos de seguridad, la actualización continua de tecnologías defensivas y el cumplimiento estricto de normativas como GDPR y NIS2 son fundamentales para minimizar el impacto de estas amenazas.

(Fuente: www.darkreading.com)