Actualidad desde nuestro Centro Experto de Ciberseguridad
Te traemos las últimas noticias y alertas detectadas de Ciberseguridad.
Conecta con nosotros a través de siainfo@sia.es
Compartir en:
Noticias destacadas de ciberseguridad
Vulnerabilidades
Cibercriminales explotan activamente una vulnerabilidad 0-day en el producto SMA1000 de Sonic Wall (CVE-2025-23006)
Cisco parchea una vulnerabilidad crítica de escalada de privilegios en su herramienta de Meeting Management (CVE-2025-20156)
Malware
Campaña de malware suplanta Reddit y WeTransfer para distribuir Lumma Stealer
Nuevo malware denominado BackConnect se le vincula con el loader Qakbot
Ciberseguridad
El grupo hacktivista Mr Hanza se atribuye el ataque DDoS dirigido a ChatGPT ocasionando una caída mundial de su servicio
La firma española de calzado, ropa y accesorios Hoff sufre un ciberataque en el que podría afectar datos personales de sus clientes
Últimas amenazas detectadas
Un afiliado de RansomHub utiliza un backdoor de Python para comprometer redes
27/01/2025
Resumen ejecutivo
Un afiliado de RansomHub emplea un backdoor de Python para la propagación del ransomware en redes comprometidas.
Datos
Tipo:
TLP:
Objetivos:
Activos afectados:
Vector de ataque:
Tags:
Malware
White
Múltiples
Múltiples
Actualizaciones de navegador
RansomHub, SocGholish, backdoor, python, ransomware
Descripción
Ha sido detectado un ataque en el que un actor malicioso utilizó un backdoor basado en Python para mantener acceso persistente en los sistemas comprometidos y posteriormente, desplegar el ransomware RansomHub en toda la red afectada.
Detalle Técnico
El acceso inicial se logró mediante un malware en JavaScript conocido como SocGholish, que se distribuye a través de campañas que engañan a los usuarios para que instalen falsas actualizaciones de navegadores web. Estas campañas suelen involucrar sitios web legítimos pero infectados, a los cuales las víctimas son redirigidas desde resultados de motores de búsqueda manipulados con técnicas de SEO.
Una vez ejecutado, SocGholish se comunica con un servidor controlado por el atacante para descargar cargas maliciosas adicionales. Posteriormente, el backdoor en Python se instala aproximadamente 20 minutos después de la infección inicial con SocGholish y luego el backdoor se propaga a otras máquinas en la misma red mediante sesiones RDP. El script en Python actúa como un proxy inverso que se conecta a una dirección IP predefinida.
Tras establecer una conexión con el servidor C2, crea un túnel basado en el protocolo SOCKS5, permitiendo al atacante moverse lateralmente por la red comprometida usando el sistema de la víctima como proxy.
Este backdoor ha estado activo desde diciembre de 2023, presentando cambios superficiales destinados a mejorar sus métodos de ofuscación para evadir la detección. El código del script es pulido y bien estructurado, lo que sugiere que el autor del malware es meticuloso en mantener un código Python legible y testeable, o que utiliza herramientas de inteligencia artificial para asistir en la programación.
Además del backdoor en Python, se han identificado otras herramientas empleadas antes del despliegue de ransomware, como EDRSilencer y Backstab para desactivar soluciones de detección y respuesta en endpoints, LaZagne para el robo de credenciales, MailBruter para forzar credenciales de correo electrónico, y Sirefef y Mediyes para mantener acceso y entregar cargas adicionales.
Técnicas utilizadas
INITIAL ACCESS
Drive-by Compromise - T1189
Spearphishing Link - T1566.002
EXECUTION
Command and Scripting Interpreter: Python - T1059.006
User Execution: Malicious File - T1204.001
DEFENSE EVASION
Impair Defenses: Disable or Modify Tools - T1562.001
Obfuscated Files or Information - T1027
COMMAND & CONTROL
Proxy: Multi-hop Proxy - T1090.003
DISCOVERY
Remote System Discovery - T1018
System Information Discovery - T1082
IMPACT
Data Encrypted for Impact - T1486
Inhibit System Recovery - T1490
Recomendaciones
Protección
- Disponer de un inventariado actualizado de los sistemas de red que incluyan los flujos de las comunicaciones.
- Realizar auditorÍas periódicas de seguridad sobre los puntos de acceso a la red (xDSL, WiFi, módem, VPN ...).
- Utilizar herramientas de análisis (Antivirus, EDR…) que detecten comportamiento sospechoso.
- Contar con un inventariado actualizado de todos los activos.
- Contar con sistemas de defensa (Antivirus) para detectar comportamiento malicioso, además de disponer de una correcta configuración de los cortafuegos a nivel de aplicación basado en listas blancas de aplicaciones permitidas.
- Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware (App Data, Local App Data, etc.).
- Realizar una correcta segregación de redes, así como establecer una apropiada política de perfilado de usuarios con el objetivo de minimizar el impacto del ransomware.
- Mantener listas de control de acceso para las unidades mapeadas en red. En caso de infección, es posible que el cifrado se propague en todas las unidades de red mapeadas en el equipo de la víctima.
- Se recomienda la instalación de la herramienta "Anti Ransom" que bloqueen el proceso de cifrado de un ransomware.
Detección
- Analizar la red con los IoC incluidos en la presente amenaza.
Mitigación
- Ante la sospecha de una intrusión aislar los equipos de la red, no apagarlos e iniciar labores de contención y respuesta ante incidentes.
- Proceder a aislar los equipos de infectados para evitar la propagación del malware en la red.
- Tener un sistema de copias de seguridad periódicas de todos los sistemas. Es necesario mantener dichas copias aisladas y sin conectividad con otros sistemas, evitando así el acceso desde equipos infectados.
- Realizar un volcado de memoria lo antes posible en los sistemas infectados con el objetivo de intentar recuperar la clave de cifrado.
- Para evitar la propagación del ransomware, proceder a aislar los equipos en los que se hayan detectado la amenaza.
Impulsa la transformación de los negocios y la sociedad mediante soluciones y servicios innovadores, poniendo a las personas en el centro.
Indra es una de las principales compañías globales de tecnología y consultoría: el socio tecnológico para las operaciones clave de los negocios de clientes en todo el mundo.