Ransomware Cactus explota vulnerabilidades en VPN

A mediados de marzo de 2023 comenzó a proliferar la actividad del denominado ransomware Cactus, principalmente contra entidades comerciales. Este actor de amenaza, además de utilizar las tácticas habituales en los ataques de ransomware, ha desarrollado su propio método de evasión: se cifra a sí mismo para dificultar aún más su detección antes del ataque.

Los expertos están particularmente preocupados por el hecho de que el atacante aprovecha las vulnerabilidades de Fortinet VPN para llevar a cabo sus ataques.

El aumento general de los ciberataques en 2023

Un análisis superficial de la actividad este año sugiere una disminución en los ataques de ransomware, pero al revisar en detalle se revela que esto se debe al aumento general de los ciberataques. En cuanto al ransomware, es importante destacar dos datos clave: en el año 2022 se registró la segunda mayor cantidad de intentos de ataque de ransomware a nivel mundial, y alrededor del 50% de las organizaciones de diversos tamaños, regiones y sectores han sido víctimas de este tipo de ataque entre 2022 y 2023.

Adicionalmente, desde comienzos de 2023 a la fecha han salido a la luz una larga lista de nuevas familias de ransomware dentro de las cuales se encuentran Rapture, Gazprom, UNIZA, Akira y Kadavro Vector. Cactus es quien más ha llamado la atención por su método de evasión.

Las etapas del ataque de Cactus

Se ha descubierto que este ransomware se infiltra en las redes a través de clientes y software VPN con fallos de seguridad, utilizando cuentas de servicio comprometidas, a través del uso de script que dificultan su detección, volviéndolo una amenaza poco convencional.

Luego de violar la red objetivo, los atacantes utilizan tareas programadas y una puerta trasera para asegurar su presencia y ejecutar operaciones de reconocimiento dentro de la red. El actor malicioso también ejecuta un script para desinstalar software antivirus y filtra archivos a un servidor en la nube antes de cifrarlos con un script de PowerShell.

Una característica a destacar del ransomware es que utiliza diferentes extensiones para los archivos de destino, dependiendo de la etapa de procesamiento. Por ejemplo, cuando Cactus está preparando un determinado archivo para el cifrado, cambia su extensión a “.CTS0”, y al final del cifrado, la extensión del archivo se convierte en “.CTS1”.

Pese a que no existe ningún sitio web para filtrar los datos robados, la nota de rescate menciona la posible publicación de documentos si no se paga el rescate.

VPN de Fortinet como uno de sus principales objetivos

La explotación de vulnerabilidades: CVE-2023-22635, CVE-2022-43946 y CVE-2022-42470 en los dispositivos FortiClient VPN sirven como potenciales brechas de explotación.

Las VPN se utilizan para conectarse a redes privadas de forma remota y segura a través de internet. Si un atacante logra tener control, puede tener acceso a la red privada a la que está conectada y, potencialmente, a cualquier información o recurso al que tenga acceso el usuario.

Es a través de las VPN que a menudo se realizan conexiones a redes empresariales y gubernamentales, las cuales pueden contener información altamente confidencial, valiosa y sensible.

Medidas preventivas

Dentro de las medidas preventivas para este tipo de ataque, es necesario considerar que, si bien el uso de VPN está altamente extendido en la gestión TI, es un recurso que no permite mantener un control integral del acceso de los usuarios privilegiados. Las soluciones de Priviledge Access Management (PAM) son el siguiente paso en el avance de la conectividad entre servicios, los cuales brindan una mayor seguridad al control de acceso.

Adicionalmente recomendamos:

Utilizar medidas de seguridad como autenticación de dos factores y monitoreo continuo de la actividad en la red VPN para detectar posibles amenazas.
Para los clientes de Fortinet se recomienda que actualicen sus sistemas con las últimas actualizaciones de seguridad proporcionadas por el fabricante.

Cada año, el ransomware representa una amenaza significativa para las organizaciones, poniendo en peligro su continuidad operativa. A pesar de las inversiones en medidas de prevención, los ataques de ransomware logran evadir estas defensas. Esto indica que es solo cuestión de tiempo antes de que cualquier organización sea víctima de estos ataques, lo que resulta en la pérdida prolongada de su infraestructura y, en algunos casos, la pérdida irreversible de datos críticos. Estos eventos tienen un impacto directo en la capacidad de las organizaciones para mantener su operatividad de manera continua.

Las estadísticas nos indican que en Chile el 62% de los ataques de ransomware están asociados a un error involuntario de un colaborador y el 84% de los colaboradores indica no estar al tanto de como sumarse a la estrategia corporativa de ciberseguridad. Frente a esto, es primordial contar con programas online de concientización y capacitación para colaboradores que permita mantenerlos alerta frente a posibles amenazas y que adquieran una conducta que aporte a la ciberdefensa.

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a fallas de día cero:

Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.