AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Microsoft revoca más de 200 certificados digitales utilizados en ataques de ransomware Rhysida con binarios falsos de Teams

admin

## Introducción

A finales de mayo de 2024, Microsoft ha dado un paso importante en la lucha contra el ransomware al revocar más de 200 certificados digitales que habían sido comprometidos y utilizados por actores de amenazas para firmar binarios maliciosos de Microsoft Teams. Estos binarios falsificados han sido vinculados a campañas recientes del ransomware Rhysida, una familia que ha ido escalando en sofisticación y volumen de ataques dirigidos a sectores como la administración pública, la educación y la sanidad, pero también empresas privadas en Europa y Estados Unidos.

## Contexto del Incidente

El uso fraudulento de certificados digitales para firmar malware no es una táctica novedosa, pero sí particularmente peligrosa cuando los certificados pertenecen a la cadena de confianza de un proveedor tan extendido como Microsoft. En este caso, los atacantes lograron obtener más de 200 certificados válidos que les permitieron firmar archivos ejecutables manipulados, haciéndolos pasar por aplicaciones legítimas de Microsoft Teams. Estos binarios fueron empleados como puerta de entrada en ataques de ransomware Rhysida, permitiendo a los atacantes evadir controles de seguridad y establecer persistencia en las redes objetivo.

La amenaza se detectó tras observar un incremento en alertas asociadas a binarios de Teams con firmas digitales válidas pero comportamientos anómalos, lo que motivó una investigación por parte del equipo de Microsoft Security Response Center (MSRC) y varios socios del sector de la ciberseguridad.

## Detalles Técnicos

### Identificadores y versiones afectadas

Hasta la fecha, no se ha asignado un CVE específico a este incidente, ya que no se trata de una vulnerabilidad del software Teams en sí, sino del abuso de la infraestructura de confianza de certificados digitales. Los binarios falsificados corresponden a versiones recientes de Teams, con hashes y nombres de archivo que emulan los originales.

### Vectores de ataque

Los atacantes distribuyeron los binarios maliciosos a través de campañas de spear-phishing y descarga directa, utilizando ingeniería social y correos electrónicos personalizados para engañar a los usuarios y administradores. Una vez ejecutados, los binarios actuaban como dropper, desplegando cargas útiles adicionales relacionadas con el ransomware Rhysida.

### Tácticas, Técnicas y Procedimientos (TTP)

Según el framework MITRE ATT&CK, estas campañas han utilizado técnicas como:

– **T1553 (Subvert Trust Controls):** Abuso de certificados digitales para firmar malware.
– **T1566 (Phishing):** Distribución de binarios mediante correo electrónico.
– **T1059 (Command and Scripting Interpreter):** Ejecución de scripts para la descarga y ejecución de payloads.
– **T1071 (Application Layer Protocol):** Uso de canales cifrados para C2.

### Indicadores de Compromiso (IoC)

– Certificados digitales revocados (hashes disponibles en el aviso de Microsoft).
– Hashes SHA256 de los binarios falsificados.
– Dominios y direcciones IP asociados a la infraestructura C2 de Rhysida.

### Herramientas y frameworks
Se ha observado el uso de frameworks como Cobalt Strike para el movimiento lateral y la persistencia, así como módulos personalizados en Metasploit para la explotación inicial.

## Impacto y Riesgos

El impacto de este incidente es significativo. Al utilizar certificados válidos de Microsoft, los binarios maliciosos lograron evadir soluciones EDR y AV tradicionales, ya que muchos motores de seguridad confían implícitamente en ejecutables firmados digitalmente por entidades de confianza. Según los datos preliminares, al menos un 15% de las organizaciones que utilizan Teams y no disponían de políticas de whitelisting estrictas o soluciones de análisis de comportamiento vieron comprometida la integridad de sus sistemas.

El ransomware Rhysida es conocido por su capacidad de cifrado rápido y exfiltración de datos antes de la demanda de rescate, lo que agrava las consecuencias en términos de pérdida de datos y potenciales sanciones por incumplimiento del RGPD o la directiva NIS2.

## Medidas de Mitigación y Recomendaciones

Microsoft ha revocado de inmediato los certificados comprometidos, lo que implica que los binarios firmados con estos certificados ya no serán reconocidos como válidos por Windows ni por SmartScreen. Se recomienda a los equipos de seguridad:

– Monitorizar y bloquear la ejecución de binarios de Teams no procedentes de canales oficiales.
– Actualizar listas de certificados revocados en sistemas y soluciones de seguridad.
– Implementar políticas de whitelisting de aplicaciones (AppLocker, WDAC).
– Revisar logs en busca de ejecuciones sospechosas de Teams y correlacionar con los IoC publicados.
– Realizar simulacros de respuesta ante incidentes de ransomware.

## Opinión de Expertos

Varios analistas del sector, como los equipos de Mandiant y NCC Group, destacan el peligro de la suplantación de binarios de confianza: “La confianza ciega en la firma digital es un riesgo creciente cuando los atacantes logran comprometer el proceso de emisión de certificados o reutilizar certificados legítimos”, señala un analista de Mandiant. Por su parte, el SANS Institute recuerda que “las cadenas de suministro de software y los mecanismos de confianza digital deben ser objeto de auditoría continua”.

## Implicaciones para Empresas y Usuarios

Para los responsables de seguridad, este incidente refuerza la necesidad de una defensa en profundidad y de no delegar la confianza únicamente en la firma digital. Las organizaciones deben revisar sus políticas de descarga y ejecución de software, especialmente en entornos con aplicaciones SaaS y herramientas colaborativas como Teams. El cumplimiento de NIS2 y RGPD implica también la obligación de notificar y mitigar incidentes que puedan afectar a la protección de datos personales.

## Conclusiones

La revocación de más de 200 certificados digitales por parte de Microsoft representa una medida urgente ante el abuso de la confianza digital en ataques de ransomware. El incidente demuestra que la cadena de confianza puede ser un vector de ataque crítico y que la vigilancia debe extenderse a todos los elementos de la cadena de suministro de software. La actualización de políticas, la monitorización proactiva y la educación continua de los usuarios siguen siendo pilares fundamentales para mitigar este tipo de amenazas avanzadas.

(Fuente: www.darkreading.com)