LeakNet innova en su ofensiva: adopta la táctica ClickFix y abandona los accesos tradicionales

Introducción

En el cambiante panorama de la ciberseguridad, la evolución de las tácticas de acceso inicial empleadas por grupos de ransomware es un indicador clave de la sofisticación y adaptabilidad de estas amenazas. Recientemente, el grupo de ransomware LeakNet ha sido identificado utilizando la táctica de ingeniería social conocida como ClickFix, dejando de lado métodos tradicionales como la obtención de credenciales robadas. Esta estrategia representa un giro significativo en los procedimientos de ataque, poniendo en alerta a profesionales de la seguridad, especialmente a equipos de respuesta ante incidentes y analistas de amenazas.

Contexto del Incidente

LeakNet, un actor de ransomware conocido por su actividad persistente desde 2022, ha sido asociado históricamente a infecciones mediante campañas de phishing, abuso de credenciales filtradas y explotación de vulnerabilidades en RDP. Sin embargo, en el segundo trimestre de 2024, los investigadores han observado una transición hacia técnicas de manipulación directa del usuario final, concretamente mediante la táctica ClickFix. Esta técnica fue detectada en sitios web previamente comprometidos, señalando una diversificación en los vectores de ataque que obliga a reconsiderar los actuales modelos de defensa.

Detalles Técnicos: CVEs, Vectores de Ataque y TTPs

La táctica ClickFix se basa en la interacción del usuario con mensajes fraudulentos que simulan errores técnicos. Cuando un usuario accede a un sitio web comprometido, se le presenta un falso aviso de error del sistema, en ocasiones imitando mensajes del propio navegador o del sistema operativo. El mensaje insta al usuario a copiar y pegar comandos en la terminal (Windows PowerShell o CMD) para supuestamente solucionar el problema detectado.

Los comandos proporcionados descargan y ejecutan payloads maliciosos, habitualmente mediante PowerShell, aprovechando la confianza del usuario en la indicación “técnica” recibida. Las cargas útiles observadas incluyen descargadores de ransomware y troyanos de acceso remoto (RAT), estableciendo persistencia y facilitando la exfiltración de datos.

En términos de MITRE ATT&CK, la táctica ClickFix se alinea principalmente con los siguientes TTPs:

– Initial Access: T1189 (Drive-by Compromise), T1566.001 (Spearphishing via Service)
– Execution: T1059.001 (PowerShell), T1059.003 (Windows Command Shell)
– User Execution: T1204.002 (Malicious Script)
– Persistence: T1547.001 (Registry Run Keys/Startup Folder)
– Exfiltration: T1041 (Exfiltration Over C2 Channel)

No se han identificado CVEs específicos explotados en esta campaña; el vector principal es la ingeniería social y la explotación de la confianza del usuario.

Impacto y Riesgos

El uso de ClickFix supone un riesgo elevado, especialmente en entornos donde el control sobre la formación y concienciación del usuario es limitado. A diferencia de los métodos automáticos de explotación, esta técnica logra evadir muchos controles de seguridad tradicionales, dado que la ejecución se produce por acción directa del usuario legítimo. Según estimaciones recientes de analistas de amenazas, el porcentaje de usuarios que caen en estos engaños puede oscilar entre el 3% y el 7% en organizaciones sin campañas activas de concienciación.

Las consecuencias incluyen la ejecución de ransomware, robo de credenciales, despliegue de herramientas post-explotación como Cobalt Strike o Meterpreter (Metasploit Framework), y la posibilidad de movimientos laterales en la red interna. El impacto económico medio de un incidente de ransomware en empresas europeas, según ENISA, supera los 800.000 euros, sin considerar sanciones adicionales por incumplimiento de GDPR o NIS2.

Medidas de Mitigación y Recomendaciones

Las recomendaciones técnicas para mitigar el riesgo asociado a ClickFix incluyen:

– Desplegar soluciones EDR con capacidades de detección en PowerShell y CMD.
– Limitar privilegios de usuario para impedir la ejecución de comandos críticos.
– Aplicar políticas de restricción de scripts (AppLocker, WDAC) y monitorización de eventos.
– Implementar campañas de concienciación específicas sobre ingeniería social y manipulación técnica.
– Actualizar filtros de navegación y listas negras de sitios web comprometidos.
– Revisar y endurecer las políticas de acceso remoto, evitando la exposición innecesaria de servicios como RDP.

Opinión de Expertos

Antonio Martínez, analista principal de amenazas en un MSSP europeo, afirma: “La sofisticación de ClickFix reside en la explotación de la confianza y el desconocimiento de los usuarios. Si bien automatizamos la detección de malware, la ingeniería social sigue siendo una brecha crítica. La clave está en unir tecnología y formación continua”.

Implicaciones para Empresas y Usuarios

La adopción de ClickFix por parte de LeakNet subraya la necesidad de un enfoque de seguridad integral, donde la tecnología y la concienciación del usuario converjan. Las empresas deben reforzar sus programas de formación, auditar el acceso a sitios web y actualizar sus procedimientos de respuesta ante incidentes para contemplar estos nuevos vectores. Para los usuarios, la consigna es clara: nunca ejecutar comandos sugeridos por un mensaje no verificado y reportar inmediatamente cualquier incidente sospechoso.

Conclusiones

La evolución de LeakNet hacia la táctica ClickFix marca un punto de inflexión en la estrategia de acceso inicial del ransomware. La explotación de la ingeniería social directa exige a los profesionales del sector reforzar no solo las barreras técnicas, sino también las defensas humanas. La monitorización proactiva, la limitación de privilegios y la concienciación constante serán determinantes para minimizar la superficie de ataque ante esta tendencia emergente.

(Fuente: feeds.feedburner.com)