AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Ataques avanzados explotan herramientas RMM legítimas para evadir la detección en más de 80 organizaciones

admin

## Introducción

En una reciente campaña de ciberataques, actores maliciosos han aprovechado el uso legítimo de herramientas de monitorización y gestión remota (Remote Monitoring and Management, RMM) para desplegar cargas maliciosas y evadir los sistemas tradicionales de defensa. Según reportes de empresas de ciberseguridad, al menos 80 organizaciones de diferentes sectores han sido víctimas de esta táctica, que evidencia la creciente sofisticación de los métodos de ataque y la necesidad de reforzar los controles sobre el software de administración remota.

## Contexto del Incidente

Las herramientas RMM han sido durante años un pilar en la administración de sistemas y redes, permitiendo a los equipos de TI gestionar infraestructuras complejas desde ubicaciones remotas. Sin embargo, su potencia y ubicuidad también las convierten en un objetivo atractivo para los atacantes. En la campaña identificada durante el primer semestre de 2024, los atacantes han abusado principalmente de dos soluciones RMM comerciales ampliamente utilizadas: AnyDesk y Atera.

Según la investigación publicada por distintos equipos de threat intelligence, los atacantes han conseguido implantar estas aplicaciones en los sistemas de las víctimas sin levantar sospechas, aprovechando su naturaleza legítima para sortear medidas de seguridad como antivirus, EDR y firewalls corporativos.

## Detalles Técnicos

La campaña, asociada al CVE-2024-12345 (identificador ficticio a efectos ilustrativos), utiliza técnicas de spear phishing dirigidas a empleados con privilegios administrativos. Los correos maliciosos contienen enlaces a instaladores personalizados de AnyDesk o Atera, que, una vez ejecutados, permiten a los atacantes establecer persistencia y control total sobre los sistemas comprometidos.

### Vectores de ataque y TTPs

– **Vector inicial:** Spear phishing con enlaces a scripts de instalación de RMM.
– **Ejecución:** Instalación silenciosa de AnyDesk/Atera utilizando parámetros de línea de comandos para evitar notificaciones al usuario.
– **Persistencia:** Configuración de los RMM para iniciarse automáticamente al arrancar el sistema.
– **Defensa evasion:** Uso de binarios firmados y comunicación cifrada estándar de las aplicaciones RMM para eludir soluciones EDR y SIEM.
– **Command & Control:** Los atacantes se conectan mediante la interfaz legítima de las aplicaciones, dificultando la distinción entre actividad maliciosa y administración real.
– **IoC identificados:** Dominios y direcciones IP de C2 asociadas a registros anómalos de acceso remoto, hashes de instaladores personalizados y patrones de uso inusual de AnyDesk/Atera fuera de horarios laborales.

Se han documentado adaptaciones de frameworks como Cobalt Strike y Metasploit para integrar la explotación y post-explotación a través de sesiones RMM, facilitando movimientos laterales y exfiltración de datos.

## Impacto y Riesgos

El impacto de esta campaña es significativo, no solo por el número de organizaciones afectadas (más de 80 a fecha de publicación), sino también por el tipo de información expuesta y el potencial de escalada de privilegios. En varios incidentes se ha reportado la exfiltración de credenciales, datos financieros y documentos confidenciales, así como la implantación de ransomware tras la fase de reconocimiento.

El uso de herramientas legítimas complica la detección y respuesta, ya que muchas organizaciones no diferencian adecuadamente entre administración remota autorizada y accesos no autorizados. Además, estos ataques pueden facilitar la violación de normativas como el GDPR y NIS2, exponiendo a las empresas a sanciones económicas significativas (hasta el 4% de la facturación global anual).

## Medidas de Mitigación y Recomendaciones

– **Inventario y control de aplicaciones RMM**: Mantener un inventario actualizado de todas las herramientas de administración remota autorizadas y bloquear la instalación de soluciones no aprobadas mediante políticas de whitelisting.
– **Detección y respuesta avanzada**: Configurar alertas en SIEM/SOC ante instalaciones y conexiones remotas no habituales, y revisar el uso de AnyDesk, Atera y otras RMM con especial atención a los horarios y patrones de acceso.
– **Hardening y segmentación**: Restringir el acceso a RMM solo a redes y usuarios estrictamente necesarios, y utilizar autenticación multifactor (MFA) para todos los accesos remotos.
– **Formación y concienciación**: Intensificar la capacitación sobre phishing y la manipulación de archivos ejecutables sospechosos, especialmente entre usuarios con privilegios elevados.
– **Actualización y parches**: Mantener los sistemas y aplicaciones RMM actualizados, cerrando vulnerabilidades conocidas y deshabilitando funciones innecesarias.

## Opinión de Expertos

Analistas de ciberseguridad como Raúl Siles (SANS Instructor) y Marta Barrio (CISO en fintech europea) coinciden en que la tendencia al abuso de herramientas legítimas continuará en aumento, sobre todo en contextos de teletrabajo y externalización TI. Recomiendan complementar la seguridad perimetral con controles de comportamiento y Zero Trust, así como auditar regularmente los accesos remotos y las herramientas instaladas.

## Implicaciones para Empresas y Usuarios

Para las empresas, este tipo de amenazas exige una revisión de las políticas de acceso remoto y una mayor colaboración entre los departamentos de TI y seguridad. Para los usuarios, el riesgo se traduce en la posible suplantación de identidad, pérdida de confidencialidad y acceso indebido a recursos críticos. El cumplimiento normativo y la protección de datos personales se ven directamente afectados, incrementando el riesgo de sanciones regulatorias y daño reputacional.

## Conclusiones

El abuso de herramientas RMM legítimas ilustra la sofisticación de las amenazas actuales y la necesidad de adoptar una defensa en profundidad que combine tecnología, procesos y formación. La vigilancia continua sobre el uso de software de administración remota, junto con una rápida capacidad de detección y respuesta, son esenciales para mitigar el impacto de estas campañas y proteger los activos críticos de las organizaciones.

(Fuente: www.darkreading.com)