AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**M&S sufre un sofisticado ataque de ransomware DragonForce tras una intrusión mediante impersonación**

admin

### 1. Introducción

El gigante británico Marks & Spencer (M&S) ha confirmado que su red corporativa fue comprometida recientemente a través de un ataque de impersonación altamente sofisticado, lo que permitió a los atacantes desplegar posteriormente el ransomware DragonForce. Este incidente pone de relieve la constante evolución de las técnicas empleadas por los grupos criminales, así como la necesidad de reforzar los controles de identidad y autenticación en las grandes organizaciones del sector retail.

### 2. Contexto del Incidente

El ataque se produjo en un contexto de incremento de las amenazas dirigidas específicamente al sector minorista, donde la información financiera de clientes y los datos de tarjetas de pago son objetivos prioritarios para los ciberdelincuentes. Según ha confirmado M&S, la intrusión inicial no se realizó mediante la explotación de una vulnerabilidad técnica tradicional, sino a través de una campaña de impersonación dirigida a empleados clave. Este enfoque resalta el cambio de paradigma hacia ataques de ingeniería social más elaborados y personalizados.

La campaña de DragonForce, grupo de ransomware-as-a-service (RaaS) de origen asiático, ha estado activa desde finales de 2023 y se ha especializado en ataques a grandes corporaciones europeas, combinando técnicas de spear phishing, movimientos laterales sofisticados y exfiltración masiva de datos antes del cifrado.

### 3. Detalles Técnicos

#### Vector de Ataque y TTPs

El ataque inicial se basó en el spear phishing avanzado, dirigido contra empleados con privilegios elevados en la red de M&S. Se emplearon correos electrónicos falsificados (spoofed) que simulaban provenir del departamento de TI interno, solicitando actualización de credenciales en un dominio clonado. El éxito de la campaña permitió a los atacantes obtener credenciales de acceso a sistemas críticos.

Una vez dentro, los atacantes desplegaron herramientas de movimiento lateral, como Cobalt Strike y PSExec, aprovechando credenciales comprometidas para escalar privilegios y mapear la red interna. Según fuentes de threat intelligence, se identificaron TTPs alineados con los identificadores MITRE ATT&CK siguientes:

– **TA0001 (Initial Access):** Spear phishing link (T1566.002)
– **TA0002 (Execution):** PowerShell (T1059.001)
– **TA0008 (Lateral Movement):** Remote Services (T1021), PSExec (T1569.002)
– **TA0010 (Exfiltration):** Exfiltration over Web Service (T1567)

La fase final consistió en la ejecución del payload de DragonForce, cifrando datos en servidores y estaciones de trabajo. Además, se detectaron scripts de exfiltración de datos y borrado de logs para dificultar la detección forense.

#### CVEs y Herramientas Involucradas

Aunque no se ha confirmado la explotación de vulnerabilidades específicas (CVE), se evidencia el abuso de credenciales y herramientas de administración legítimas (Living-off-the-Land Binaries – LOLBins). Los atacantes también desplegaron variantes modificadas del framework Metasploit para persistencia y enumeración de activos.

#### Indicadores de Compromiso (IoC)

– Dominios de phishing clonados a partir del dominio corporativo de M&S.
– Hashes de binarios de Cobalt Strike y payloads de DragonForce.
– Direcciones IP asociadas a infraestructura de DragonForce, identificadas previamente en ataques a entidades europeas.

### 4. Impacto y Riesgos

El ataque ha tenido un impacto significativo en la infraestructura de M&S, provocando la interrupción temporal de servicios internos y potencial acceso no autorizado a datos sensibles. Aunque la compañía no ha confirmado la cifra exacta de sistemas afectados, fuentes no oficiales estiman que hasta un 15% de los servidores corporativos y varias bases de datos con información de clientes y empleados han podido verse comprometidas.

El riesgo inmediato incluye la publicación o venta de datos robados en foros de la darknet, extorsión económica (las demandas de DragonForce suelen situarse entre 250.000 y 1 millón de euros) y daños reputacionales. Además, la posible filtración de datos personales coloca a M&S bajo el escrutinio de la GDPR, exponiéndola a sanciones significativas en caso de incumplimiento.

### 5. Medidas de Mitigación y Recomendaciones

– **Revisión exhaustiva de logs y artefactos forenses** para identificar la extensión del ataque y posibles puertas traseras.
– **Restablecimiento inmediato de credenciales** y adopción de autenticación multifactor (MFA) reforzada en todos los accesos sensibles.
– **Segmentación de red** y reducción de privilegios en cuentas con acceso lateral.
– **Despliegue de herramientas EDR/XDR** capaces de detectar TTPs asociados a DragonForce y Cobalt Strike.
– **Simulaciones periódicas de phishing** y campañas de formación para concienciación del personal.
– **Copias de seguridad offline** y pruebas de restauración rápida.

### 6. Opinión de Expertos

Especialistas en ciberseguridad consultados coinciden en que la sofisticación del ataque evidencia la profesionalización de los grupos RaaS. Según Pedro Salgado, CISO de una consultora internacional, “la combinación de ingeniería social avanzada y abuso de herramientas legítimas dificulta la detección temprana, por lo que la visibilidad y monitorización continua son esenciales”. Además, advierte sobre la necesidad de evaluar el cumplimiento de la NIS2 y de reforzar los planes de respuesta a incidentes.

### 7. Implicaciones para Empresas y Usuarios

El ataque a M&S es un recordatorio claro de que los controles técnicos, por sí solos, no bastan: la concienciación y formación de los empleados son igual de críticas. Para el sector retail, el incidente subraya la urgencia de revisar políticas de acceso y segmentación de redes, así como la inversión en soluciones avanzadas de detección de amenazas. Para los usuarios, es fundamental extremar la precaución ante comunicaciones sospechosas y revisar periódicamente la seguridad de sus cuentas.

### 8. Conclusiones

El caso de M&S ilustra la capacidad de los actores de amenazas para combinar técnicas de ingeniería social y herramientas avanzadas, logrando comprometer incluso a organizaciones con infraestructuras maduras. La respuesta debe ser integral, combinando tecnología, procesos y formación, y alineándose con los marcos regulatorios como GDPR y NIS2. La prevención y la resiliencia operativa se consolidan como ejes fundamentales del nuevo paradigma de la ciberseguridad empresarial.

(Fuente: www.bleepingcomputer.com)