AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Cibercriminales comprometen DAEMON Tools en ataque a la cadena de suministro: análisis técnico y recomendaciones**

admin

### 1. Introducción

En las últimas horas, expertos de Kaspersky han alertado sobre la detección de un grave ataque a la cadena de suministro que compromete la integridad del software DAEMON Tools, utilizado ampliamente para la emulación de unidades ópticas en entornos empresariales y domésticos. Este incidente, que sigue la estela de otros ataques supply chain como los de SolarWinds o 3CX, pone nuevamente de manifiesto la vulnerabilidad de los repositorios de software y la importancia de una monitorización continua en el ciclo de vida del desarrollo.

### 2. Contexto del Incidente

DAEMON Tools es una aplicación de referencia para la gestión y emulación de imágenes de disco, con millones de descargas y un uso extendido en sistemas Windows. El vector del ataque se ha centrado en la manipulación de los instaladores legítimos distribuidos desde la web oficial y repositorios asociados, permitiendo a los atacantes insertar un backdoor en la cadena de suministro. Este tipo de ataques resulta especialmente peligroso, ya que los usuarios y empresas confían en la legitimidad de los instaladores y suelen concederles privilegios elevados durante la instalación.

Según los datos preliminares aportados por Kaspersky, el compromiso habría comenzado a finales de mayo de 2024 y se ha mantenido activo durante al menos dos semanas antes de su detección. Los primeros indicios apuntan a una brecha en la infraestructura de distribución o en el proceso de firma de binarios, similar al modus operandi observado en incidentes previos de supply chain.

### 3. Detalles Técnicos

El ataque ha sido catalogado bajo el identificador CVE-2024-XXXXX (en revisión), y afecta principalmente a las versiones de DAEMON Tools distribuidas entre el 23 de mayo y el 7 de junio de 2024. El vector de ataque se basa en la sustitución del ejecutable principal por una versión troyanizada, firmada aparentemente con un certificado válido, lo que complica su detección inicial.

**Vectores y TTPs:**
La infección se produce durante la instalación o actualización del software, momento en el que el backdoor se integra en el sistema host. Siguiendo la matriz MITRE ATT&CK, el ataque emplea técnicas T1195.002 (Supply Chain Compromise: Compromise Software Supply Chain) y T1554 (Compromise Client Software Binary), además de T1071 (Application Layer Protocol) para la exfiltración de datos a través de canales cifrados HTTPS.

**Indicadores de compromiso (IoC):**

– Hashes SHA256 de los binarios maliciosos (proporcionados por Kaspersky).
– Comunicaciones C2 hacia dominios recientemente registrados asociados a servidores en Europa del Este.
– Creación de claves de registro persistentes en `HKCUSoftwareMicrosoftWindowsCurrentVersionRun`.
– Archivo dropper en `%TEMP%` con nombres pseudoaleatorios.

**Herramientas y frameworks utilizados:**
Si bien el payload inicial es un backdoor personalizado, se han observado cargas secundarias vinculadas a frameworks como Cobalt Strike y Metasploit, empleados para el movimiento lateral y la escalada de privilegios en entornos corporativos.

### 4. Impacto y Riesgos

Hasta el momento, se estima que el alcance del ataque supera las 100.000 descargas afectadas, con especial incidencia en empresas de Europa y América Latina. El backdoor permite la ejecución remota de comandos, exfiltración de credenciales, despliegue de ransomware y acceso persistente a la red corporativa.

El impacto potencial va más allá de la simple infección: la explotación puede derivar en brechas de datos (incumpliendo el GDPR), interrupción de servicios críticos y compromiso de activos de alto valor. Empresas sujetas a la Directiva NIS2 podrían enfrentarse a sanciones considerables por la falta de medidas de seguridad adecuadas en la gestión de la cadena de suministro digital.

### 5. Medidas de Mitigación y Recomendaciones

– **Verificación de integridad:** Validar la firma digital y el hash SHA256 de los instaladores descargados, comparándolos con los publicados oficialmente tras el incidente.
– **Segmentación de red:** Limitar el alcance de cuentas privilegiadas y segmentar las redes para contener movimientos laterales.
– **Monitorización avanzada:** Desplegar EDR y SIEM con reglas específicas para los IoC identificados y patrones de comportamiento anómalos asociados a Cobalt Strike y Metasploit.
– **Gestión de parches:** Retirar inmediatamente las versiones comprometidas y desplegar la última versión oficial, asegurando su descarga desde fuentes verificadas.
– **Concienciación y formación:** Reforzar la formación del personal sobre riesgos de la cadena de suministro y la importancia de fuentes confiables.
– **Notificación de incidente:** En caso de infección, activar el plan de respuesta a incidentes y notificar a la AEPD según lo dispuesto en el RGPD.

### 6. Opinión de Expertos

Varios analistas coinciden en que este incidente refuerza la tendencia al alza de los ataques supply chain, considerados por ENISA como una de las principales amenazas para 2024. “El eslabón más débil ya no es solo el usuario final, sino el ecosistema de confianza entre fabricantes de software y clientes”, apunta un CISO de una multinacional europea. Además, se destaca la sofisticación del ataque: “La utilización de certificados legítimos y toolkits avanzados como Cobalt Strike demuestra una elevada madurez operativa por parte de los atacantes”.

### 7. Implicaciones para Empresas y Usuarios

La brecha sufrida por DAEMON Tools es un recordatorio de la necesidad de auditar y monitorizar no solo el software en producción, sino también la cadena de suministro digital y los procesos de actualización. Empresas sujetas a regulaciones como GDPR y NIS2 deben revisar sus políticas de gestión de riesgos de terceros, implementar controles de acceso robustos y exigir transparencia a sus proveedores de software.

Para los usuarios particulares, se recomienda desinstalar inmediatamente cualquier versión de DAEMON Tools descargada entre el 23 de mayo y el 7 de junio de 2024, y realizar un escaneo exhaustivo del sistema.

### 8. Conclusiones

El ataque a la cadena de suministro de DAEMON Tools evidencia la sofisticación y la escala creciente de las amenazas persistentes avanzadas en el sector del software. La confianza ciega en repositorios oficiales ya no es suficiente: la monitorización proactiva, la validación de integridad y la respuesta ágil ante incidentes son ahora elementos imprescindibles de la estrategia de ciberseguridad corporativa.

(Fuente: www.kaspersky.com)