AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**El grupo Crazy utiliza SimpleHelp y software legítimo de monitorización para persistir y desplegar ransomware**

admin

### 1. Introducción

En un nuevo giro en la evolución de las tácticas de persistencia y evasión, un integrante del grupo de ransomware Crazy ha sido detectado utilizando herramientas legítimas de monitorización de empleados y la plataforma de asistencia remota SimpleHelp para mantener el acceso persistente a redes corporativas. Esta estrategia permite a los atacantes burlar las defensas tradicionales, preparar el terreno para el cifrado masivo de activos críticos y dificultar la atribución y detección temprana de la intrusión.

### 2. Contexto del Incidente o Vulnerabilidad

El ransomware Crazy ha ganado notoriedad en los últimos meses por su enfoque selectivo hacia empresas medianas y grandes, principalmente en Europa y Norteamérica. A diferencia de otras familias de ransomware que dependen exclusivamente de puertas traseras personalizadas o exploits conocidos, Crazy está integrando aplicaciones comerciales de administración remota y vigilancia, como SimpleHelp y soluciones de monitorización de empleados, en su cadena de ataque. Esta tendencia, cada vez más frecuente, complica la labor de los equipos SOC y de los sistemas de EDR/XDR, que suelen categorizar estos binarios como benignos o necesarios para la operativa corporativa.

El incidente salió a la luz tras la investigación de múltiples compromisos en los que los atacantes, tras obtener acceso inicial mediante credenciales comprometidas (probablemente vía phishing o a través de brokers de acceso), desplegaron instancias de SimpleHelp y software de monitorización en servidores y estaciones de trabajo, permaneciendo ocultos durante semanas antes de lanzar el ransomware.

### 3. Detalles Técnicos

#### CVE, Vectores de Ataque y TTPs

Hasta el momento, no se han asociado CVEs específicos a esta campaña, dado que los atacantes explotan funcionalidades legítimas y no vulnerabilidades conocidas. El vector inicial suele ser la obtención de credenciales válidas a través de phishing dirigido, ataques de fuerza bruta o adquisición en mercados clandestinos.

Una vez dentro, el actor:

– **Despliega SimpleHelp** (una herramienta de asistencia remota multiplataforma, versión 5.2 y superiores) en modo oculto, configurando la persistencia vía tareas programadas o claves de registro en Windows (`HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun`).
– Instala software de monitorización de empleados (por ejemplo, StaffCop o Teramind), camuflándolo como parte del stack corporativo para grabar pulsaciones, capturas de pantalla y transferencias de archivos, facilitando el reconocimiento y la exfiltración previa.
– Utiliza técnicas T1021 (Remote Services), T1071 (Application Layer Protocol), y T1569 (System Services) del marco MITRE ATT&CK, junto con la ejecución de comandos PowerShell para la propagación lateral y la descarga de payloads adicionales.

#### IoCs y Herramientas Usadas

Se han detectado conexiones salientes cifradas hacia servidores de SimpleHelp alojados en VPS extranjeros, logs de instalación de software de monitorización en horarios inusuales y cargas de Cobalt Strike para reconocimiento interno. Algunos hashes de archivos y direcciones IP utilizadas han sido compartidas con la comunidad de inteligencia de amenazas.

### 4. Impacto y Riesgos

El uso de herramientas legítimas reduce drásticamente la probabilidad de detección por soluciones antivirus tradicionales y EDR mal configurados. Según estimaciones recientes, hasta un 15% de las intrusiones con ransomware en 2023 involucraron algún tipo de software comercial de administración remota.

Los riesgos para las organizaciones incluyen:

– **Persistencia a largo plazo**: Los atacantes pueden mantener el acceso durante semanas o meses sin ser detectados.
– **Reconocimiento avanzado**: El software de monitorización facilita la identificación de activos críticos y credenciales privilegiadas.
– **Evasión de controles**: Las whitelists y políticas laxas permiten que estos binarios pasen desapercibidos.
– **Riesgo de sanciones**: La exfiltración de datos podría acarrear multas millonarias bajo GDPR y la inminente NIS2, especialmente en sectores regulados.

### 5. Medidas de Mitigación y Recomendaciones

Para minimizar el riesgo ante este tipo de amenazas, los responsables de seguridad deben:

– **Revisar y auditar regularmente el uso de software de acceso remoto y monitorización**, asegurando que sólo las versiones y configuraciones aprobadas estén presentes en los endpoints.
– **Implementar políticas de allowlisting restrictivas** y monitorizar la instalación de nuevas aplicaciones, especialmente fuera del horario laboral.
– **Monitorizar conexiones salientes** hacia dominios y direcciones IP asociadas con SimpleHelp y otros servicios similares.
– **Refinar las reglas de EDR/XDR** para alertar sobre el despliegue o uso no autorizado de herramientas comerciales de administración.
– **Educar a los usuarios** frente a amenazas de phishing y aplicar autenticación multifactor en todos los accesos remotos.

### 6. Opinión de Expertos

Especialistas en ciberseguridad, como los analistas de Kroll y Mandiant, advierten que el abuso de herramientas legítimas representa una de las tendencias más preocupantes del ransomware moderno: «Las defensas tradicionales basadas en firmas pierden eficacia cuando el atacante se camufla entre el ruido habitual de la red corporativa. La clave es la visibilidad y el análisis contextual», apunta Raúl Jiménez, analista senior de amenazas.

### 7. Implicaciones para Empresas y Usuarios

Para los CISOs y responsables de TI, este incidente subraya la urgencia de revisar la gestión de aplicaciones permitidas y la necesidad de visibilidad avanzada sobre el ciclo de vida del software instalado. Los usuarios finales, por su parte, deben extremar la precaución ante solicitudes de soporte remoto inesperadas y reportar cualquier cambio inusual en el comportamiento de sus dispositivos.

En un contexto regulatorio cada vez más exigente, no solo está en juego la continuidad operativa, sino también la responsabilidad legal y la reputación de la organización.

### 8. Conclusiones

El caso del grupo Crazy evidencia cómo la frontera entre herramientas legítimas y amenazas se diluye en el ecosistema actual. La defensa efectiva requiere de monitorización continua, inteligencia de amenazas actualizada y una cultura de ciberseguridad robusta en todos los niveles. La adaptación de los atacantes obliga a las organizaciones a evolucionar sus estrategias y controles de seguridad para mitigar estos riesgos emergentes.

(Fuente: www.bleepingcomputer.com)