AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Operadores de ransomware aprovechan ISPsystem para desplegar cargas maliciosas a gran escala mediante máquinas virtuales

admin

Introducción

En las últimas semanas, se ha detectado una campaña masiva de ransomware en la que actores de amenazas están explotando la infraestructura legítima de ISPsystem, un reconocido proveedor de gestión de infraestructuras virtuales. Estos operadores están aprovisionando y utilizando máquinas virtuales (VMs) en la nube para alojar y distribuir cargas maliciosas de ransomware a escala, eludiendo controles tradicionales y complicando la atribución y contención de incidentes. El abuso de proveedores legítimos para tales fines marca una evolución preocupante en las tácticas de los grupos de ransomware, que buscan maximizar el alcance y persistencia de sus ataques minimizando la exposición e identificabilidad de sus infraestructuras maliciosas.

Contexto del Incidente

Desde principios de 2024, equipos de respuesta a incidentes y analistas de amenazas han observado un aumento significativo en el uso de máquinas virtuales desplegadas a través de ISPsystem para lanzar ataques de ransomware. ISPsystem, conocido por sus soluciones de gestión de virtualización y hosting (como VMmanager), permite a usuarios y empresas desplegar VMs bajo demanda, facilitando la gestión de recursos en entornos cloud y on-premise. Esta flexibilidad, combinada con el modelo self-service, ha sido aprovechada por los actores maliciosos para escalar rápidamente sus operaciones sin depender de infraestructuras comprometidas o servidores on-premise previamente infectados.

La campaña detectada presenta características avanzadas de ofuscación y enmascaramiento. Los atacantes emplean métodos automatizados para aprovisionar múltiples VMs, dificultando la identificación y bloqueo de las fuentes de ataque por parte de los equipos de defensa, y aprovechando la reputación de la infraestructura legítima para evitar ser bloqueados por listas negras y controles de perimeter security.

Detalles Técnicos

El vector de ataque principal identificado se basa en la creación masiva de VMs en ISPsystem, las cuales son configuradas automáticamente para alojar y distribuir cargas útiles de ransomware, como LockBit, BlackCat (ALPHV) y variantes de Cl0p, entre otras. Los actores aprovechan scripts de automatización (con frameworks como Ansible y Terraform) para el despliegue de VMs, y utilizan herramientas de post-explotación como Cobalt Strike y Metasploit para el movimiento lateral y la persistencia.

Las campañas observadas han explotado vulnerabilidades conocidas (CVE-2023-23397 de Microsoft Outlook, CVE-2023-28252 en Windows Common Log File System Driver), así como técnicas de phishing dirigidas y explotación de credenciales filtradas. Una vez desplegado el ransomware, las VMs actúan como C2s (command and control) y como servidores de descarga, distribuyendo payloads cifrados vía HTTPS o SMB, y utilizando DNS tunneling para eludir controles de red.

Las TTPs identificadas corresponden a los siguientes apartados del marco MITRE ATT&CK:

– Initial Access: Exploitation of Public-Facing Application (T1190), Phishing (T1566)
– Execution: Command and Scripting Interpreter (T1059)
– Persistence: Create Account (T1136), Boot or Logon Autostart Execution (T1547)
– Lateral Movement: Remote Services (T1021), Exploitation of Remote Services (T1210)
– Exfiltration: Exfiltration Over C2 Channel (T1041)

Entre los indicadores de compromiso (IoC) destacan direcciones IP asociadas a rangos de ISPsystem, hashes de archivos de ransomware conocidos y patrones de tráfico inusual hacia dominios recién creados bajo infraestructuras de ISP legítimas.

Impacto y Riesgos

El aprovechamiento de la infraestructura de ISPsystem permite a los operadores de ransomware escalar ataques con rapidez y flexibilidad, dificultando la atribución y mitigación. Se estima que más de un 15% de las últimas campañas de ransomware de alto impacto han empleado este vector, según datos de varios ISACs sectoriales. Se han observado pérdidas económicas superiores a los 50 millones de euros en los últimos seis meses, con sectores críticos (finanzas, sanidad, transporte) particularmente afectados.

El uso de VMs de proveedores legítimos complica la respuesta rápida, ya que la infraestructura maliciosa puede ser rápidamente desechada y reemplazada. Además, dificulta la aplicación de bloqueos automáticos por parte de los proveedores de servicios y los equipos SOC, y representa un desafío adicional para el cumplimiento de marcos regulatorios como GDPR y NIS2, especialmente en lo relativo a la protección de datos y la resiliencia de la cadena de suministro digital.

Medidas de Mitigación y Recomendaciones

Para mitigar este tipo de amenazas, se recomienda:

– Implementar monitorización avanzada de tráfico saliente, con especial atención a conexiones hacia rangos de IP de proveedores de virtualización pública.
– Desplegar soluciones EDR/XDR con capacidad de detección de actividad anómala desde hosts internos.
– Revisar y reforzar las políticas de acceso remoto y autenticación multifactor.
– Utilizar listas blancas de aplicaciones y segmentación de red para limitar el movimiento lateral.
– Colaborar activamente con proveedores de servicios cloud para detectar comportamientos sospechosos y solicitar el cierre de instancias maliciosas.
– Actualizar los planes de respuesta a incidentes para contemplar escenarios de abuso de infraestructuras legítimas.

Opinión de Expertos

Especialistas en ciberseguridad, como Miguel Fernández (CISO de una entidad financiera española), señalan que “la tendencia a abusar de infraestructuras cloud legítimas es una evolución natural del ransomware-as-a-service. Las empresas deben tratar el acceso a proveedores de virtualización como un vector de riesgo de primer orden, y no solo como una simple extensión de su perímetro”. Por su parte, la ENISA advierte que “la colaboración entre proveedores de servicios y clientes es clave para detectar y frenar estos incidentes antes de que se propaguen”.

Implicaciones para Empresas y Usuarios

El abuso de proveedores como ISPsystem obliga a las organizaciones a replantear sus estrategias de defensa en profundidad, priorizando la visibilidad sobre tráfico hacia y desde infraestructuras cloud externas. Además, las empresas deben revisar sus contratos y acuerdos de nivel de servicio (SLAs) con proveedores para definir protocolos de actuación ante usos indebidos. En el plano regulatorio, la correcta gestión de incidentes y la notificación a autoridades competentes (en línea con NIS2 y GDPR) será fundamental para evitar sanciones y pérdidas reputacionales.

Conclusiones

El uso de máquinas virtuales legítimas para la distribución y control de ransomware representa un salto cualitativo en las estrategias de los grupos de amenazas. La respuesta efectiva requerirá una colaboración más estrecha entre empresas, proveedores y organismos regulatorios, así como una revisión constante de las capacidades de detección y respuesta. Solo así se podrá contener una amenaza cada vez más sofisticada y difícil de rastrear.

(Fuente: www.bleepingcomputer.com)