AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**El ransomware Clop explota servidores Gladinet CentreStack expuestos a Internet en una nueva oleada de extorsión**

admin

### 1. Introducción

Durante las últimas semanas, el grupo de ransomware Clop ha intensificado sus actividades maliciosas, centrando sus ataques en servidores Gladinet CentreStack expuestos a Internet. Esta nueva campaña, basada en la exfiltración de datos y extorsión, ha puesto en alerta a la comunidad de ciberseguridad, especialmente a aquellos responsables de la protección de infraestructuras de almacenamiento de archivos y servicios cloud privados. El incidente subraya la importancia de aplicar controles estrictos de seguridad en soluciones de almacenamiento y sincronización, así como monitorización continua de sistemas expuestos.

### 2. Contexto del Incidente

Gladinet CentreStack es una plataforma empresarial de acceso remoto, sincronización y compartición de archivos, habitualmente desplegada en entornos corporativos como alternativa a servicios cloud públicos. Su uso es frecuente en sectores regulados y medianas empresas que buscan mantener control sobre el almacenamiento de datos. Sin embargo, la exposición directa de instancias de CentreStack a Internet, sin medidas de endurecimiento ni segmentación de red, ha abierto la puerta a una nueva campaña de ataques llevada a cabo por el conocido grupo de ransomware Clop.

Clop, que ha sido vinculado anteriormente a campañas masivas como las derivadas de la explotación de vulnerabilidades en MOVEit Transfer y Accellion FTA, ha evolucionado sus tácticas desde el cifrado puro a la exfiltración y extorsión, en línea con la tendencia del sector hacia el modelo de “doble extorsión”.

### 3. Detalles Técnicos

El vector de ataque principal identificado en esta campaña es la explotación de servidores CentreStack (versiones anteriores a la 14.2.1473.53192), expuestos a Internet sin autenticación multifactor o restricciones de acceso. De acuerdo con análisis de tráfico y honeypots, los atacantes escanean rangos de IP en busca de puertos y rutas típicas asociadas a CentreStack, tales como los puertos 443 y 80, y las rutas `/webclient/` y `/webapi/`.

Aunque a fecha de publicación no se ha asignado un CVE específico a una vulnerabilidad zero-day, se ha observado el abuso de credenciales débiles o comprometidas mediante ataques de fuerza bruta y reutilización de contraseñas. Una vez obtenidas las credenciales, los actores acceden a la consola administrativa, elevan privilegios y despliegan payloads para la exfiltración de datos sensibles.

Entre las TTPs asociadas (según MITRE ATT&CK) destacan:

– **TA0001: Initial Access** – Acceso vía servicios expuestos e interfaces web.
– **T1078: Valid Accounts** – Uso de cuentas legítimas para acceso persistente.
– **T1041: Exfiltration Over C2 Channel** – Exfiltración directa hacia infraestructuras controladas por Clop.
– **T1486: Data Encrypted for Impact** – En algunos casos, cifrado final de archivos tras la exfiltración.

Se han detectado IoCs relacionados con direcciones IP de origen situadas en Rusia y Europa del Este, así como el uso de herramientas personalizadas para la transferencia masiva de datos. No se ha observado uso de frameworks como Metasploit o Cobalt Strike en la fase inicial, aunque sí en etapas posteriores para movimientos laterales.

### 4. Impacto y Riesgos

El impacto para las organizaciones afectadas es significativo: exposición de información confidencial, interrupción de operaciones y riesgo de sanciones regulatorias. Se estima que más de 1.000 instancias de CentreStack están potencialmente expuestas, especialmente en sectores de servicios profesionales, salud y manufactura.

Las demandas de rescate de Clop suelen oscilar entre 100.000 y 3 millones de dólares, dependiendo del perfil de la víctima y el volumen de datos exfiltrados. El daño reputacional y el incumplimiento de marcos normativos (como GDPR o NIS2) pueden derivar en multas adicionales del 2% al 4% del volumen de negocio anual.

### 5. Medidas de Mitigación y Recomendaciones

Las principales medidas recomendadas incluyen:

– **Actualización inmediata** a la versión más reciente de CentreStack (>=14.2.1473.53192).
– **Restricción de acceso** a interfaces administrativas mediante VPN o listas blancas de IP.
– **Implementación de MFA** para todos los accesos a la consola.
– **Monitorización de logs** en busca de accesos anómalos y exfiltración masiva.
– **Auditoría de credenciales** y políticas de rotación de contraseñas.
– **Despliegue de honeypots** y reglas de detección específicas para patrones de ataque identificados.

La segmentación de red y la desactivación de servicios innecesarios son igualmente esenciales para reducir la superficie de ataque.

### 6. Opinión de Expertos

Expertos de la industria, como los analistas de Mandiant y Kaspersky, subrayan que la tendencia de Clop hacia el robo de datos y extorsión pura responde a la mayor resiliencia de las organizaciones frente al cifrado. “El enfoque en la exfiltración de datos y extorsión directa maximiza el impacto financiero y reputacional para las víctimas”, advierte Dmitry Bestuzhev, director de análisis de amenazas en Kaspersky. Asimismo, se recalca la importancia de una “higiene digital” estricta y la revisión periódica de servicios expuestos.

### 7. Implicaciones para Empresas y Usuarios

Las empresas deben evaluar proactivamente su exposición a servicios de almacenamiento accesibles desde Internet, así como reforzar la formación y concienciación del personal. La falta de controles adecuados puede derivar no solo en pérdidas económicas, sino también en vulneraciones de datos personales bajo el GDPR o la próxima directiva NIS2, con impacto legal y operativo.

Los usuarios finales, especialmente en entornos BYOD y teletrabajo, deben ser informados sobre los riesgos de compartir datos sensibles en plataformas mal configuradas o no autorizadas.

### 8. Conclusiones

La campaña de Clop contra servidores Gladinet CentreStack pone de manifiesto la necesidad de una gestión proactiva de activos expuestos y un enfoque integral de ciberdefensa. La evolución de las tácticas de ransomware obliga a las organizaciones a ir más allá de la protección perimetral, adoptando estrategias de defensa en profundidad y respuesta ante incidentes alineadas con las mejores prácticas del sector.

(Fuente: www.bleepingcomputer.com)