AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**LeakNet adopta ClickFix y Deno Loader para potenciar ataques de ransomware a empresas**

admin

### 1. Introducción

El panorama del ransomware se encuentra en constante evolución, con la adopción de nuevas tácticas y herramientas por parte de los grupos cibercriminales. Recientemente, se ha detectado que el grupo LeakNet, conocido por su actividad en el ámbito del ransomware, ha comenzado a emplear la técnica ClickFix para el acceso inicial a entornos corporativos. Además, han incorporado un loader de malware basado en el runtime open source Deno, orientado a la ejecución de JavaScript y TypeScript. Este movimiento demuestra la sofisticación creciente de los actores de amenazas y la diversificación de sus vectores de ataque.

### 2. Contexto del Incidente o Vulnerabilidad

LeakNet es una de las bandas de ransomware que más actividad ha mostrado en 2024, centrándose en atacar organizaciones con infraestructuras Windows. Hasta ahora, los métodos de acceso inicial de LeakNet estaban alineados con técnicas clásicas: spear phishing, explotación de servicios vulnerables (RDP, VPN), y abuso de credenciales. No obstante, la reciente adopción de ClickFix representa un cambio significativo en sus tácticas, permitiéndoles aprovechar vulnerabilidades relacionadas con la interacción del usuario y la manipulación de sistemas de autenticación web.

ClickFix es una técnica emergente que explota mecanismos de autenticación web y flujos OAuth, permitiendo a los atacantes obtener tokens válidos tras inducir a la víctima a hacer clic en enlaces maliciosos. Paralelamente, el uso de un loader basado en Deno —un entorno de ejecución moderno para JavaScript y TypeScript— introduce una capa adicional de ofuscación y evasión frente a mecanismos de detección tradicionales, que suelen estar más orientados a identificar binarios o scripts en lenguajes más habituales como PowerShell o Python.

### 3. Detalles Técnicos

#### Acceso Inicial: ClickFix

La técnica ClickFix, identificada en campañas recientes, explota el workflow OAuth y Single Sign-On (SSO) en aplicaciones empresariales. El atacante envía a la víctima un enlace manipulado, generalmente a través de phishing dirigido. Al hacer clic, el usuario otorga permisos al atacante para acceder a recursos internos (correo electrónico, almacenamiento en la nube, etc.), sin requerir la sustracción directa de credenciales. Este vector se alinea con la táctica TA0001 (Initial Access) y la técnica T1192 (Spearphishing Link) del framework MITRE ATT&CK.

#### Loader basado en Deno

Una vez obtenido acceso, LeakNet despliega un loader de malware compilado sobre Deno. Deno, al ser un runtime moderno compatible con JavaScript y TypeScript, permite a los atacantes empaquetar cargas útiles en binarios multiplataforma, dificultando su análisis y detección por parte de software antimalware clásico. El loader es capaz de descargar y ejecutar payloads adicionales, incluyendo el ransomware propiamente dicho y herramientas de post-explotación (por ejemplo, Cobalt Strike para movimiento lateral y reconocimiento interno).

#### Indicadores de Compromiso (IoC) y Exploits

– URLs de phishing personalizadas para OAuth (ej.: `login.microsoftonline.com/common/oauth2/authorize?…`)
– Binarios ofuscados con Deno, firmados con certificados legítimos robados o auto-firmados.
– Conexiones salientes a dominios de comando y control (C2) recientemente registrados, asociados a campañas LeakNet.
– Uso de frameworks open source: Deno, Cobalt Strike, y scripts personalizados para exfiltración de datos.

### 4. Impacto y Riesgos

La combinación de ClickFix y Deno Loader incrementa la superficie de ataque y reduce la eficacia de controles convencionales de seguridad. Se estima que, en los últimos dos meses, LeakNet ha comprometido al menos a un 8% de las organizaciones atacadas, causando pérdidas económicas que superan los 12 millones de euros, según informes preliminares de ciberinteligencia. La capacidad de evadir EDRs y la rapidez en el despliegue del ransomware incrementan el riesgo de interrupciones operativas graves y violaciones de datos masivas.

### 5. Medidas de Mitigación y Recomendaciones

– **Revisión de permisos OAuth:** Auditar y revocar accesos de aplicaciones de terceros no autorizadas en entornos cloud (Microsoft 365, Google Workspace).
– **Fortalecimiento de MFA:** Implementar autenticación multifactor robusta y monitorizar eventos anómalos de inicio de sesión.
– **Actualización y monitorización de endpoints:** Asegurar la actualización de EDRs con capacidades para analizar ejecutables Deno y detectar actividad inusual de scripts.
– **Formación en phishing dirigido:** Realizar campañas de concienciación específicas sobre riesgos de enlaces OAuth y permisos concedidos a aplicaciones desconocidas.
– **Segmentación de red y privilegios mínimos:** Limitar el alcance de cuentas y servicios vulnerables a través de políticas de segmentación y reducción de privilegios.

### 6. Opinión de Expertos

Profesionales de ciberseguridad y analistas SOC coinciden en que la adopción de Deno representa una tendencia preocupante, ya que muchos motores antimalware actuales no contemplan este runtime en sus políticas de seguridad por defecto. Según Javier Martínez, CISO de una multinacional tecnológica: “El uso de Deno por parte de grupos de ransomware es el siguiente paso lógico en la evolución de las amenazas, ya que permite empaquetar cargas útiles evasivas en formatos poco habituales para los sistemas de seguridad tradicionales”.

### 7. Implicaciones para Empresas y Usuarios

La sofisticación de LeakNet exige a las empresas revisar urgentemente sus controles de acceso, políticas OAuth y capacidades de detección en endpoints. La NIS2 y el GDPR exigen respuestas rápidas y transparentes ante compromisos de seguridad, con la obligación legal de notificar incidentes de ransomware en menos de 72 horas. Además, la capacidad de los atacantes para operar bajo técnicas de living-off-the-land y el uso de frameworks open source dificulta la atribución y contención del ataque.

### 8. Conclusiones

El despliegue de la técnica ClickFix junto al uso de un loader basado en Deno por parte de LeakNet marca un antes y un después en la evolución de las campañas de ransomware. La diversificación de herramientas y vectores de ataque obliga a los equipos de seguridad a actualizar sus estrategias, invirtiendo en detección avanzada, monitorización de comportamientos y formación continua frente a nuevas amenazas. La proactividad y la segmentación son fundamentales para minimizar el impacto ante este tipo de incidentes.

(Fuente: www.bleepingcomputer.com)