AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Cibercriminales de Storm-1175 explotan vulnerabilidad crítica en GoAnywhere MFT para desplegar ransomware Medusa**

admin

### 1. Introducción

Durante las últimas semanas, se ha detectado una campaña sostenida de ataques ransomware llevada a cabo por el grupo de amenazas Storm-1175, quien ha aprovechado una vulnerabilidad crítica en GoAnywhere MFT para comprometer infraestructuras empresariales. Este modus operandi incorpora la explotación de la CVE-2024-0204, catalogada con una severidad máxima (CVSS 9.8), con el objetivo de desplegar el ransomware Medusa en organizaciones de múltiples sectores. El incidente pone de manifiesto la sofisticación y rapidez de los actores de amenazas para capitalizar fallos de seguridad en soluciones ampliamente adoptadas por empresas para la transferencia segura de archivos.

### 2. Contexto del Incidente

GoAnywhere MFT (Managed File Transfer) es una plataforma utilizada para la gestión y transferencia segura de información sensible entre sistemas internos y externos. El producto, desarrollado por Fortra, está presente en miles de empresas a nivel global, incluyendo servicios financieros, sanidad, manufactura y sector público. La vulnerabilidad explotada, CVE-2024-0204, fue revelada públicamente a inicios de mayo de 2024, afectando a las versiones de GoAnywhere MFT anteriores a la 7.4.1.

Storm-1175, también conocido en algunos informes como TA505, es un grupo de cibercrimen transnacional especializado en ataques de ransomware y exfiltración de datos, con especial predilección por vulnerabilidades de día cero en software empresarial. El uso del ransomware Medusa en esta campaña subraya la tendencia creciente de ataques doble extorsión, donde además del cifrado de archivos se amenaza con la publicación de datos sensibles.

### 3. Detalles Técnicos: Exploit y Tácticas

**Vulnerabilidad**
– **Identificador**: CVE-2024-0204
– **Severidad**: 9.8 (crítica, CVSS v3.1)
– **Vector**: Permite ejecución remota de código no autenticado a través de una API expuesta.

**TTPs (Tactics, Techniques & Procedures) – MITRE ATT&CK:**
– **Initial Access (TA0001):** Explotación de vulnerabilidad de software público expuesto (T1190).
– **Execution (TA0002):** Ejecución de scripts maliciosos tras el acceso inicial.
– **Persistence (TA0003):** Creación de cuentas de usuario en el sistema comprometido.
– **Lateral Movement (TA0008):** Uso de herramientas administrativas legítimas y RDP.
– **Exfiltration (TA0010):** Robo de datos sensibles antes del cifrado.

**Indicadores de Compromiso (IoC):**
– Archivos ejecutables con nombres aleatorios en directorios temporales.
– Conexiones salientes a IPs atribuidas históricamente a infraestructura de Medusa.
– Cuentas de usuario creadas con privilegios elevados en sistemas GoAnywhere.

El exploit utilizado en la campaña se ha comercializado tanto en foros clandestinos como en frameworks conocidos como Metasploit, permitiendo la automatización del proceso de explotación y distribución del payload de Medusa.

### 4. Impacto y Riesgos

Las consecuencias de este ataque son severas. Según datos de Fortra, más de 2.500 instancias de GoAnywhere MFT permanecían expuestas públicamente cuando se reveló la vulnerabilidad. El compromiso puede suponer:
– Paralización total de operaciones por cifrado masivo de archivos.
– Filtración y posible publicación de información sensible (GDPR, NIS2).
– Daños reputacionales y sanciones regulatorias.
– Costes de recuperación que, según estudios de IBM, pueden ascender a un promedio de 4,54 millones de dólares por incidente.

Empresas de sectores críticos como banca y sanidad han sido especialmente afectadas, con una estimación preliminar de cientos de organizaciones impactadas en Europa y Norteamérica.

### 5. Medidas de Mitigación y Recomendaciones

– **Actualización inmediata** a GoAnywhere MFT versión 7.4.1 o superior, donde se corrige la vulnerabilidad.
– **Deshabilitación temporal** del acceso externo a la interfaz de administración de GoAnywhere MFT.
– Revisión exhaustiva de **logs de actividad** y búsqueda de IoC asociados a la campaña de Medusa.
– Aplicación de **MFA** y restricciones de acceso basadas en IP para todas las interfaces administrativas.
– Refuerzo de políticas de **backup offline** y pruebas frecuentes de restauración.
– Notificación a las autoridades competentes (INCIBE, AEPD) en caso de brecha de datos conforme a GDPR y NIS2.

### 6. Opinión de Expertos

Fernando Sánchez, analista de ciberamenazas en S21sec, advierte: “La rapidez con la que Storm-1175 ha industrializado la explotación de CVE-2024-0204 demuestra que los actores de ransomware están monitorizando activamente la publicación de parches críticos. La ventana de exposición se ha reducido a días, e incluso horas, desde la divulgación pública.”

Por su parte, Javier Romero, CISO de una entidad financiera, recalca: “La gestión de parches y la reducción de superficie de exposición externa son hoy más cruciales que nunca. Los atacantes no distinguen el tamaño de la organización cuando encuentran una puerta abierta.”

### 7. Implicaciones para Empresas y Usuarios

Este incidente subraya la necesidad de establecer procesos de gestión de vulnerabilidades ágiles y proactivos. El cumplimiento de normativas como GDPR y NIS2 exige la notificación expedita de incidentes y la demostración de medidas preventivas. Las empresas deben evaluar su cadena de suministro digital, ya que vulnerabilidades en terceras partes pueden suponer vectores de entrada indirectos.

Para los usuarios finales, aunque el ataque se centra en entornos corporativos, la exposición de datos personales puede conllevar riesgos de fraude, suplantación y pérdida de privacidad.

### 8. Conclusiones

La explotación de la vulnerabilidad crítica de GoAnywhere MFT por parte de Storm-1175 y el despliegue de Medusa ransomware refuerzan la tendencia de ataques dirigidos contra infraestructuras empresariales críticas mediante vulnerabilidades de día cero o recién divulgadas. Solo una gestión de parches proactiva, una segmentación adecuada y una vigilancia continua permitirán a las organizaciones minimizar el riesgo frente a actores cada vez más organizados y veloces.

(Fuente: www.bleepingcomputer.com)