AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

RansomHouse reivindica el ataque al repositorio de código fuente de Trellix y filtra pruebas de acceso

admin

Introducción

El panorama de la ciberseguridad se enfrenta a una nueva amenaza dirigida a la cadena de suministro de software, tras la reciente filtración que afecta a Trellix, proveedor de soluciones de seguridad reconocidas a nivel mundial. La intrusión, atribuida por el propio grupo de ransomware RansomHouse, ha puesto el foco en la seguridad de los repositorios de código fuente utilizados por empresas de ciberseguridad. Este incidente subraya la sofisticación y persistencia de los actores de amenazas que, una vez más, han logrado vulnerar los controles internos de una compañía clave del sector.

Contexto del Incidente

La semana pasada, Trellix, resultado de la fusión de McAfee Enterprise y FireEye, sufrió una violación de seguridad en uno de sus repositorios de código fuente. El ataque fue reivindicado el 29 de junio por RansomHouse, grupo conocido por ataques a infraestructuras críticas y grandes empresas. RansomHouse publicó capturas de pantalla de archivos y carpetas supuestamente obtenidos durante el acceso al repositorio, como prueba de la intrusión. Este tipo de incidentes es especialmente preocupante dado el rol fundamental de Trellix en el desarrollo de herramientas de detección y respuesta ante amenazas (EDR/XDR), utilizadas por miles de organizaciones para protegerse frente a ataques avanzados.

Detalles Técnicos

Según la información disponible, la brecha afectó a un repositorio Git interno de Trellix, alojado previsiblemente en una infraestructura propia o en plataformas como GitLab o GitHub Enterprise. Los atacantes explotaron credenciales comprometidas, posiblemente obtenidas mediante phishing dirigido (spear phishing) o a través de la explotación de una vulnerabilidad no parcheada en el sistema de autenticación. RansomHouse es conocido por emplear técnicas de movimiento lateral (T1075: Pass the Hash, T1021: Remote Services) y escalada de privilegios (T1068: Exploitation for Privilege Escalation), según la matriz MITRE ATT&CK.

En este caso concreto, los indicadores de compromiso (IoC) incluyen direcciones IP de origen vinculadas a infraestructuras previamente asociadas con RansomHouse, así como huellas de herramientas de exfiltración como Rclone y la posible utilización de frameworks como Metasploit para el reconocimiento inicial. Hasta el momento, Trellix no ha confirmado la existencia de exploits públicos para esta vulnerabilidad, aunque se teme que los actores de amenazas pudieran haber accedido a código propietario de productos críticos.

Impacto y Riesgos

El acceso no autorizado a repositorios de código fuente en el sector de la ciberseguridad es especialmente grave. Si el código filtrado incluye módulos de detección o algoritmos propietarios, los atacantes podrían desarrollar técnicas de evasión personalizadas (anti-EDR, anti-XDR) o descubrir vulnerabilidades no documentadas (zero-days) en las soluciones de Trellix. Además, la exposición de información confidencial puede facilitar ataques a la cadena de suministro, permitiendo la inyección de código malicioso en futuras actualizaciones.

El impacto potencial va más allá de la filtración de datos; existe un riesgo real de abuso por parte de otros grupos de ransomware y APT, así como de la reventa del código fuente en foros clandestinos. Como referencia, incidentes similares han causado pérdidas económicas superiores a 50 millones de euros y han derivado en investigaciones regulatorias bajo el marco del RGPD y la directiva NIS2.

Medidas de Mitigación y Recomendaciones

Para mitigar este tipo de riesgos, se recomienda implementar autenticación multifactor (MFA) obligatoria para todos los accesos a sistemas de control de versiones, además de la monitorización continua de los logs de acceso y la revisión periódica de las configuraciones de permisos. Es fundamental aplicar políticas estrictas de gestión de secretos y credenciales, así como el escaneo automatizado de repositorios en busca de información sensible accidentalmente expuesta.

Se aconseja, además, la realización de pruebas de penetración internas y la simulación de ataques de phishing orientados a desarrolladores y personal de IT. La utilización de herramientas de detección de exfiltración (DLP) y la integración de alertas en el SIEM corporativo son prácticas recomendadas en el contexto actual.

Opinión de Expertos

Varios analistas SOC y CISOs consultados coinciden en que este incidente es un claro ejemplo de la necesidad de reforzar la seguridad en los procesos DevSecOps, especialmente en empresas que desarrollan sus propias soluciones de seguridad. “La protección del código fuente es tan crítica como la protección de los datos de clientes”, afirma un responsable de seguridad de una gran entidad financiera. Por su parte, expertos en threat intelligence destacan el aumento de ataques dirigidos a la cadena de suministro y la importancia de la colaboración sectorial para compartir IoC y estrategias de defensa.

Implicaciones para Empresas y Usuarios

Para las empresas que dependen de soluciones Trellix, este incidente obliga a revisar sus propias políticas de actualización, evaluar la exposición a posibles ataques de supply chain y comprobar que sus herramientas cuentan con las últimas actualizaciones de seguridad. Desde el punto de vista del cumplimiento normativo, tanto RGPD como NIS2 exigen la notificación de incidentes que puedan afectar a la confidencialidad, integridad y disponibilidad de los sistemas.

Conclusiones

El ataque reivindicado por RansomHouse contra el repositorio de código fuente de Trellix confirma la tendencia al alza de las amenazas a la cadena de suministro de software, incluso en el sector de la ciberseguridad. La protección proactiva de los repositorios, la formación continua y el intercambio de inteligencia serán clave para mitigar riesgos similares en el futuro.

(Fuente: www.bleepingcomputer.com)