Microsoft revoca más de 200 certificados fraudulentos usados en ataques de ransomware Rhysida
Introducción
El pasado jueves, Microsoft anunció la revocación de más de 200 certificados digitales utilizados de forma fraudulenta por el grupo de amenazas conocido como Vanilla Tempest. Según el equipo de Microsoft Threat Intelligence, estos certificados permitieron a los atacantes firmar binarios maliciosos y distribuir ransomware, incrementando la sofisticación y el éxito de sus campañas. Esta acción resalta la creciente preocupación sobre el abuso de la confianza en la cadena de suministro software y la escalada en el uso de técnicas avanzadas de ataque para evadir controles de seguridad convencionales.
Contexto del Incidente
Vanilla Tempest, también identificado en algunos informes como Storm-0558, es un actor de amenazas avanzado (APT) con historial en operaciones dirigidas contra entidades gubernamentales, empresas financieras y organizaciones sanitarias. En los últimos meses, este grupo ha intensificado sus campañas mediante el uso de certificados digitales legítimos comprometidos o generados ilícitamente para firmar ejecutables maliciosos. En este caso, los certificados revocados estaban siendo utilizados en campañas de distribución de ransomware Rhysida, aprovechando la ingeniería social y el uso de instaladores falsos de Microsoft Teams para facilitar la infección.
Detalles Técnicos
El modus operandi detectado por Microsoft implica la distribución de instaladores fraudulentos de Microsoft Teams, que aparentan ser legítimos gracias a la firma digital proporcionada por estos certificados comprometidos. Al ejecutar estos archivos, la víctima instala en su sistema el backdoor Oyster, una puerta trasera modular utilizada como stage inicial para la posterior entrega del ransomware Rhysida.
Rhysida, conocido por su modelo de ransomware-as-a-service (RaaS), cifra archivos en los sistemas afectados y exige un rescate en criptomonedas. El backdoor Oyster proporciona persistencia, exfiltración de datos y capacidades de reconocimiento lateral. Los TTPs (Tactics, Techniques and Procedures) utilizados se alinean con varias técnicas MITRE ATT&CK, entre ellas:
– T1566 (Phishing): Ingeniería social para engañar a los usuarios.
– T1554 (Compromise of Software Supply Chain): Abuso de la cadena de suministro mediante certificados legítimos.
– T1059 (Command and Scripting Interpreter): Uso de scripts para descargar y ejecutar payloads.
– T1071 (Application Layer Protocol): Uso de protocolos legítimos para comunicaciones C2.
Los indicadores de compromiso (IoC) identificados incluyen hashes de los ejecutables, URLs de descarga de los instaladores falsos y los propios certificados digitales ya revocados.
Impacto y Riesgos
El abuso de más de 200 certificados digitales por parte de Vanilla Tempest ha permitido que las cargas maliciosas eludan múltiples soluciones de seguridad basadas en reputación y validación de firmas. Al utilizar certificados válidos, los binarios evadían controles de aplicaciones (AppLocker, WDAC) y soluciones antivirus tradicionales, incrementando la tasa de infección inicial.
El impacto potencial es significativo: organizaciones expuestas sufren tanto la interrupción operativa debido al cifrado de sistemas críticos como la posible filtración de información sensible. En el contexto de la regulación europea, incidentes de esta índole pueden acarrear sanciones severas según la GDPR y obligaciones adicionales según la directiva NIS2 de ciberresiliencia.
Se estima que, durante el periodo activo de estas campañas, al menos un 15% de las infecciones de Rhysida en entornos corporativos han estado vinculadas al uso de estos certificados fraudulentos, según datos de telemetría de Microsoft y fuentes del sector.
Medidas de Mitigación y Recomendaciones
Microsoft ha procedido a la revocación inmediata de los certificados afectados, actualizando las listas de revocación y distribuyendo nuevos parches a través de Windows Update. Se recomienda a los equipos de seguridad:
– Asegurar la actualización de todas las listas de certificados revocados en endpoints y servidores.
– Monitorizar intentos de ejecución de instaladores de Teams fuera de los canales oficiales de Microsoft.
– Revisar logs y endpoints en busca de IoCs relacionados con Oyster y Rhysida.
– Implementar soluciones EDR con capacidad de detección de binarios firmados anómalamente.
– Fortalecer procesos de validación de software y concienciar a los usuarios sobre la descarga de aplicaciones desde fuentes no verificadas.
Opinión de Expertos
Especialistas en ciberseguridad como Kevin Beaumont y firmas como Mandiant han subrayado que este incidente representa una tendencia creciente en el abuso de confianza digital. La cadena de suministro software y los mecanismos de firma están cada vez más en el punto de mira, siendo explotados tanto por APTs como por actores de ransomware-as-a-service. Los expertos coinciden en la necesidad urgente de reforzar la gestión y auditoría de certificados digitales en todo el ciclo de vida del software.
Implicaciones para Empresas y Usuarios
Las organizaciones deben revisar sus políticas de actualización y gestión de certificados y reforzar la vigilancia sobre la procedencia de los ejecutables en sus sistemas. La confianza en la firma digital debe acompañarse de mecanismos adicionales de validación y monitorización. Para los usuarios, el incidente refuerza la importancia de descargar software exclusivamente de fuentes oficiales y desconfiar de adjuntos o enlaces recibidos por correo electrónico o mensajería corporativa.
Conclusiones
La revocación masiva de más de 200 certificados por parte de Microsoft evidencia el nivel de sofisticación y recursos de los grupos de amenazas actuales. La confianza en la cadena de suministro y la infraestructura de firma digital queda nuevamente en entredicho, obligando a las empresas a revisar sus procesos y a adoptar un enfoque de seguridad basado en la defensa en profundidad. Ante la evolución constante de las TTPs de los actores de amenazas, la actualización y monitorización continua se presentan como las mejores armas de defensa.
(Fuente: feeds.feedburner.com)