AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**Ciberdelincuentes de Storm-2561 Distribuyen Falsos Clientes VPN de Ivanti, Cisco y Fortinet para Robar Credenciales**

admin

### 1. Introducción

En el panorama actual de ciberamenazas, los ataques dirigidos a infraestructuras críticas continúan evolucionando en sofisticación y alcance. Recientemente, un actor de amenazas identificado como Storm-2561 ha intensificado sus campañas de distribución de malware mediante la propagación de clientes VPN empresariales falsificados de proveedores líderes como Ivanti, Cisco y Fortinet. Esta táctica tiene como objetivo principal el robo de credenciales de acceso remoto, comprometiendo la seguridad de redes corporativas a través de técnicas de suplantación y ataques dirigidos a la cadena de suministro de software.

### 2. Contexto del Incidente o Vulnerabilidad

Storm-2561, rastreado por Microsoft Threat Intelligence y otras firmas especializadas, se ha consolidado como un grupo de cibercrimen centrado en el robo de identidades y el acceso inicial a redes empresariales. La campaña detectada a mediados de junio de 2024 se apoya en la distribución de instaladores VPN manipulados, que imitan a los clientes legítimos de Ivanti Secure Connect, Cisco AnyConnect y FortiClient. El vector de ataque inicial suele ser el phishing dirigido (spear phishing), aunque también se han detectado campañas de SEO poisoning y distribución a través de foros clandestinos frecuentados por administradores de sistemas y teletrabajadores.

Este incidente se produce en un contexto de alta dependencia del trabajo remoto y de la protección de las comunicaciones cifradas, donde las VPN constituyen la primera línea de defensa frente a accesos no autorizados y fugas de datos. La explotación de la confianza en proveedores reconocidos añade una capa de complejidad a la detección de estas amenazas.

### 3. Detalles Técnicos

#### CVE y Vectores de Ataque

Hasta el momento, la campaña no explota directamente vulnerabilidades conocidas (no se ha asociado a ningún CVE específico), sino que recurre al uso de ingeniería social y la manipulación de instaladores. El vector de ataque principal es la descarga de ejecutables manipulados desde sitios web fraudulentos que simulan los portales oficiales de los fabricantes afectados. En algunos casos, se ha detectado el uso de dominios typosquatting y certificados SSL válidos para dificultar la identificación por parte de los usuarios y herramientas automatizadas.

#### TTP según MITRE ATT&CK

– **T1195 – Supply Chain Compromise**: Manipulación de software legítimo para introducir cargas maliciosas.
– **T1566 – Phishing**: Uso de correos electrónicos o enlaces maliciosos dirigidos.
– **T1078 – Valid Accounts**: Uso de credenciales obtenidas para acceso lateral.
– **T1216 – System Script Proxy Execution**: Utilización de scripts para evadir controles de seguridad.

#### Indicadores de Compromiso (IoC)

– Dominios maliciosos imitando a los proveedores VPN (ej. cicsco-anyconnect[.]com, ivanti-secure[.]net).
– Hashes SHA256 de los ejecutables manipulados.
– Conexiones salientes hacia C2s alojados en VPS de bajo coste.
– Instaladores que incluyen DLLs adicionales para capturar y exfiltrar credenciales.

#### Herramientas y Frameworks

No se ha observado el uso directo de frameworks ampliamente conocidos como Metasploit o Cobalt Strike en la fase inicial, aunque las credenciales robadas podrían utilizarse posteriormente para el despliegue de payloads más avanzados.

### 4. Impacto y Riesgos

El impacto potencial de esta campaña es elevado, especialmente en organizaciones con una gran dependencia de la conectividad remota. El robo de credenciales VPN puede derivar en accesos no autorizados, movimiento lateral, exfiltración de datos sensibles y posible despliegue de ransomware. Según datos de Microsoft, se estima que al menos un 8% de los intentos de instalación de clientes VPN en entornos corporativos durante las dos últimas semanas están asociados a versiones manipuladas.

Además, el uso de credenciales legítimas dificulta la detección por sistemas de seguridad tradicionales, ya que el tráfico inicial y los accesos parecen legítimos. El cumplimiento normativo, especialmente bajo GDPR y la inminente NIS2, se ve comprometido ante la posibilidad de filtraciones de datos personales y de infraestructuras críticas.

### 5. Medidas de Mitigación y Recomendaciones

– **Verificación de la fuente de descarga**: Instalar siempre clientes VPN desde los portales oficiales de los fabricantes, evitando enlaces de terceros o remitidos por correo.
– **Validación de integridad**: Comprobar firmas digitales y hashes SHA256 de los instaladores antes de su ejecución.
– **Monitorización de accesos remotos**: Revisar autenticaciones anómalas e implementar soluciones de MFA obligatorias.
– **Actualización de políticas de control de acceso**: Segmentar la red y limitar permisos según el principio de mínimo privilegio.
– **Formación y concienciación**: Capacitar a empleados y administradores sobre riesgos asociados a la descarga de herramientas críticas.

### 6. Opinión de Expertos

Especialistas en respuesta a incidentes, como los de Mandiant y Kaspersky, coinciden en que este tipo de campañas representan un paso más en la profesionalización de los grupos de amenazas, al explotar la confianza en el software empresarial legítimo. “Estamos asistiendo a un cambio de paradigma: ya no basta con proteger el endpoint, es imprescindible blindar la cadena de suministro digital y la identidad corporativa”, apunta Javier Sánchez, analista senior de amenazas.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, la campaña de Storm-2561 subraya la necesidad de endurecer los procesos de adquisición e instalación de software crítico, así como de reforzar las auditorías de acceso remoto. Los usuarios deben extremar precauciones y reportar cualquier anomalía detectada en la solicitud de credenciales o comportamientos inusuales del cliente VPN.

La adopción de técnicas de Zero Trust y la implantación de EDR/XDR avanzados se posicionan como medidas imprescindibles para la detección temprana y respuesta rápida ante este tipo de incidentes.

### 8. Conclusiones

La distribución de instaladores VPN falsificados por parte de Storm-2561 pone de manifiesto la sofisticación y persistencia de los actores de amenazas actuales. La confianza ciega en proveedores reconocidos y la falta de verificación rigurosa abren la puerta a brechas críticas. La respuesta debe ser integral, combinando tecnología, procesos y concienciación para preservar la seguridad de las comunicaciones y la integridad de las credenciales corporativas.

(Fuente: www.bleepingcomputer.com)