AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Ransomware sofisticado: los grupos criminales atacan copias de seguridad en la nube como táctica clave

admin

#### 1. Introducción

En los últimos meses, el sector de la ciberseguridad ha observado una evolución significativa en las tácticas, técnicas y procedimientos (TTP) empleados por los grupos de ransomware. Uno de los patrones emergentes más preocupantes es el ataque sistemático y planificado a las copias de seguridad en la nube antes de lanzar el cifrado principal sobre los sistemas de las víctimas. Esta estrategia, confirmada tras el análisis forense de datos almacenados en servidores centrales controlados por grupos de ransomware, representa un cambio de paradigma en la cadena de ataque y plantea serios desafíos para los equipos de respuesta a incidentes y los administradores de sistemas.

#### 2. Contexto del Incidente o Vulnerabilidad

La información sobre esta táctica proviene de la revisión de archivos almacenados en servidores de infraestructura en la nube propiedad de un conocido grupo de ransomware. Los datos, incautados por especialistas en ciberinteligencia, revelan una operativa altamente estructurada cuya prioridad es la identificación y destrucción de las copias de seguridad —tanto locales como remotas— antes de ejecutar el payload de cifrado. Esta metodología refuerza la presión sobre las víctimas, impidiendo la recuperación de datos sin el pago del rescate y multiplicando el impacto operativo y económico del ataque.

El sector financiero, el sanitario y la administración pública figuran entre los más afectados, con incidentes recientes que han comprometido la integridad de respaldos en plataformas cloud como Amazon S3, Azure Blob Storage y Google Cloud Storage, además de soluciones híbridas y on-premise.

#### 3. Detalles Técnicos

##### CVEs y vectores de ataque

No existe un único CVE asociado a esta táctica, ya que los actores de amenazas explotan una combinación de vulnerabilidades y credenciales filtradas para acceder a las infraestructuras de backup. Entre las vulnerabilidades comúnmente explotadas destacan:
– **CVE-2022-30190 (Follina)**: ejecución remota de código en Windows.
– **CVE-2023-23397**: vulnerabilidad en Microsoft Outlook para escalada de privilegios.
– **CVE-2021-21985**: ejecución remota en VMware vCenter.

##### TTP MITRE ATT&CK

Las TTP más relevantes, según la matriz MITRE ATT&CK, incluyen:
– **T1562.001** (Impair Defenses: Disable or Modify Tools): desactivación de servicios de backup y EDR.
– **T1485** (Data Destruction): eliminación directa de archivos de respaldo.
– **T1078** (Valid Accounts): uso de credenciales comprometidas para acceder a consolas de administración de backup.
– **T1047** (Windows Management Instrumentation): automatización de tareas de borrado y desactivación de copias de seguridad.

##### IoCs y herramientas

Entre los indicadores de compromiso (IoC) detectados figuran:
– Acceso no autorizado a consolas de gestión de backup en horarios atípicos.
– Ejecución de scripts PowerShell y herramientas como **Rclone** y **WinRM** para exfiltración y manipulación de respaldos.
– Uso de frameworks como **Cobalt Strike** y **Metasploit** para movimiento lateral y persistencia.

#### 4. Impacto y Riesgos

Las consecuencias de este modus operandi son especialmente graves. Según un informe reciente de Sophos, el 94% de las organizaciones víctimas de ransomware que no disponían de copias de seguridad intactas se vieron obligadas a negociar o pagar el rescate. Los ataques a respaldos pueden incrementar el coste medio de recuperación en un 60%, con pérdidas económicas que oscilan entre 500.000 y 2 millones de euros por incidente, dependiendo del tamaño de la organización y la criticidad de los sistemas afectados.

A nivel de cumplimiento normativo, la destrucción de respaldos puede resultar en incumplimientos graves de la GDPR y la nueva directiva NIS2, exponiendo a las empresas a sanciones administrativas y demandas por parte de clientes y socios.

#### 5. Medidas de Mitigación y Recomendaciones

Entre las medidas técnicas más eficaces para mitigar este riesgo destacan:
– Implementar políticas de **backup inmutable** y almacenamiento WORM (Write Once Read Many).
– Segmentar la red y aplicar el principio de privilegio mínimo en las credenciales de acceso a copias de seguridad.
– Monitorizar de forma continua los accesos y operaciones sobre sistemas de backup, con alertas ante comportamientos anómalos.
– Realizar pruebas periódicas de restauración y mantener respaldos offline o air-gapped.
– Actualizar y parchear sistemáticamente los sistemas implicados en el ciclo de backup.

#### 6. Opinión de Expertos

David Barroso, CTO de CounterCraft, señala: “La protección de las copias de seguridad ya no puede considerarse una simple buena práctica, sino un componente crítico de la resiliencia organizativa frente a ransomware. Los atacantes han identificado los respaldos como el eslabón débil y están automatizando su destrucción”.

Por su parte, el centro nacional de ciberseguridad (INCIBE) advierte que “la detección precoz de actividad sospechosa sobre sistemas de backup debe ser prioritaria en los SOC, integrando reglas específicas en SIEM y SOAR”.

#### 7. Implicaciones para Empresas y Usuarios

Para los CISOs y responsables de seguridad, este cambio táctico obliga a replantear las arquitecturas de backup y los procesos de recuperación ante desastres. Las organizaciones deben revisar sus contratos con proveedores cloud, asegurando que ofrecen opciones de backup inmutable y soporte para auditoría forense. Los usuarios finales también deben ser formados en la importancia de proteger credenciales y reportar cualquier acceso inusual a recursos críticos.

#### 8. Conclusiones

El ataque sistemático a copias de seguridad en la nube representa una de las amenazas emergentes más críticas en el panorama actual del ransomware. La sofisticación en la identificación y destrucción de respaldos dificulta la recuperación y aumenta la presión sobre las víctimas, requiriendo una respuesta coordinada y la adopción de estrategias avanzadas de backup y monitorización. La adaptación constante frente a las nuevas TTP es ya una necesidad imperativa para cualquier organización con activos críticos digitalizados.

(Fuente: www.darkreading.com)