AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Los operadores de Fog ransomware emplean herramientas de pentesting y software legítimo para evadir defensas

admin

Introducción

En el panorama actual de la ciberseguridad, los grupos de ransomware evolucionan constantemente sus tácticas, técnicas y procedimientos (TTPs) para maximizar el impacto de sus campañas y dificultar tanto la detección como la atribución. Recientemente, los operadores del ransomware Fog han llamado la atención de la comunidad de seguridad tras descubrirse que están utilizando un conjunto de herramientas poco habitual, entre las que destacan utilidades open-source de pentesting y un software legítimo de monitorización de empleados, Syteca, como parte integral de su cadena de ataque. Esta sofisticación en la selección de herramientas evidencia una tendencia creciente: la combinación de utilidades legítimas y de código abierto para evadir controles tradicionales de defensa y dificultar la respuesta ante incidentes.

Contexto del Incidente

El ransomware Fog, identificado en campañas activas desde principios de 2024, ha sido documentado afectando principalmente a organizaciones del sector servicios y manufactura en Europa y Norteamérica. A diferencia de variantes más conocidas como LockBit o BlackCat, Fog se caracteriza por su perfil bajo y el uso de técnicas menos convencionales. Los análisis forenses recientes muestran que, en lugar de recurrir exclusivamente a malware personalizado, los atacantes se apoyan en herramientas de pentesting ampliamente reconocidas en el ámbito de la ciberseguridad, así como en aplicaciones legítimas diseñadas para la monitorización interna de empleados, con el objetivo de moverse lateralmente y recolectar credenciales sin levantar sospechas inmediatas.

Detalles Técnicos

Las investigaciones han identificado que los atacantes aprovechan una combinación de herramientas open-source como Cobalt Strike (para la post-explotación y el control remoto), Impacket (para la ejecución remota de comandos y el movimiento lateral) y Mimikatz (para la extracción de credenciales en sistemas Windows). Sin embargo, lo que diferencia a Fog es la integración de Syteca, un software legítimo de monitorización de empleados. Este programa, diseñado para el seguimiento de actividades en entornos corporativos, es utilizado por los atacantes para vigilar el comportamiento de los usuarios, identificar activos críticos y mapear la infraestructura interna antes del despliegue final del ransomware.

El vector inicial de ataque suele ser el phishing dirigido, combinado con la explotación de vulnerabilidades conocidas (CVE-2023-23397 en Microsoft Outlook, por ejemplo) para obtener un primer acceso. Una vez dentro del entorno comprometido, los actores despliegan Cobalt Strike mediante cargas cifradas, evadiendo soluciones EDR tradicionales gracias a la ofuscación y al uso de canales legítimos de comunicación. El movimiento lateral se realiza principalmente mediante la explotación de credenciales robadas y la utilización de Impacket para ejecutar comandos en remoto. La recopilación de información sensible y la vigilancia de los sistemas se lleva a cabo a través de Syteca, aprovechando su capacidad de funcionar bajo el radar de muchas soluciones de seguridad.

Desde la perspectiva MITRE ATT&CK, se observan las siguientes TTPs predominantes: Initial Access (T1566), Execution (T1059), Credential Access (T1003), Lateral Movement (T1021), Discovery (T1087), Collection (T1119) y Exfiltration (T1041). Como IoC, se han detectado firmas asociadas a los binarios de Syteca, Cobalt Strike beacon y tráfico inusual hacia IPs no asociadas a la infraestructura habitual de la organización.

Impacto y Riesgos

El impacto de las campañas de Fog ransomware es significativo. Las organizaciones afectadas han experimentado cifrado total o parcial de sus activos críticos, interrupciones operativas y, en algunos casos, filtración de datos sensibles como parte de la estrategia de doble extorsión. Según estimaciones, el 15% de las víctimas han sufrido pérdidas económicas superiores a 500.000 euros, sumando costes de recuperación, rescate y sanciones regulatorias bajo el GDPR y la futura NIS2. Además, el uso de herramientas legítimas como Syteca complica la detección temprana, al minimizar los falsos positivos y camuflar la actividad maliciosa dentro de flujos de trabajo normales.

Medidas de Mitigación y Recomendaciones

Ante este tipo de amenazas, se recomienda:

– Monitorización activa de la instalación y ejecución de software de monitorización no autorizado, como Syteca, en endpoints y servidores.
– Refuerzo de controles de acceso, incluyendo segmentación de red y MFA, especialmente para accesos remotos.
– Actualización inmediata de sistemas ante vulnerabilidades conocidas (p. ej., CVE-2023-23397).
– Implementación de detección basada en comportamiento para identificar el uso anómalo de utilidades como Cobalt Strike, Impacket o Mimikatz.
– Auditoría y desinstalación de herramientas de administración remota no justificadas.
– Simulaciones periódicas de ataques (red teaming) para mejorar la resiliencia y la capacidad de respuesta ante incidentes.

Opinión de Expertos

Analistas de amenazas de empresas como Mandiant y Kaspersky coinciden en que la tendencia de abusar de herramientas legítimas y open-source dificulta la defensa, ya que muchas soluciones EDR y SIEM no generan alertas ante el uso esperado de este software. Recomiendan a los equipos de seguridad adoptar una mentalidad de “asume brecha” e invertir en detección proactiva y threat hunting para descubrir anomalías contextuales en lugar de depender exclusivamente de firmas conocidas.

Implicaciones para Empresas y Usuarios

Para las empresas, la exposición ante este tipo de ataques supone un reto adicional en términos de cumplimiento normativo y protección de activos críticos. El abuso de software legítimo puede llevar a brechas inadvertidas, potenciales sanciones bajo el GDPR y NIS2, y daños reputacionales difíciles de cuantificar. Los usuarios, por su parte, deben ser conscientes de los riesgos asociados al phishing dirigido y la importancia de reportar cualquier comportamiento anómalo en sus dispositivos corporativos.

Conclusiones

El caso de Fog ransomware ejemplifica la sofisticación creciente de los actores de amenazas, que combinan herramientas open-source, tácticas de pentesting y software legítimo para maximizar su eficacia y evadir controles tradicionales. Las organizaciones deben evolucionar sus estrategias de defensa, priorizando la detección basada en comportamiento y la monitorización continua, para hacer frente a este tipo de campañas avanzadas.

(Fuente: www.bleepingcomputer.com)