Los hackers superan al soporte técnico: ahora necesitan menos de 24 horas para tomar el control total de una red
Basta un minuto de retraso para provocar consecuencias irreparables.
Los ciberdelincuentes cada vez más anticipan a las defensas: aprovechan vulnerabilidades antes de que las empresas puedan corregirlas. Una nueva campaña analizada por el equipo de Microsoft, muestra, cuán rápidas se han vuelto las operaciones de ransomware y con qué rapidez los atacantes convierten un fallo aislado en un incidente a gran escala.
El grupo conocido como Storm-1175 organiza ataques en torno a vulnerabilidades recientemente divulgadas en servicios externos. Se trata de sistemas accesibles vía web que a menudo no se actualizan en los primeros días tras la publicación de los problemas. En ese breve lapso los atacantes logran infiltrarse en la infraestructura. En algunos casos la intrusión comienza ya 24 horas después de la divulgación de la vulnerabilidad, y a veces los exploits se aplican incluso antes del anuncio oficial del problema.
Tras obtener acceso, el grupo actúa con rapidez. La consolidación en el sistema lleva muy poco tiempo: se crean nuevas cuentas con privilegios administrativos, se despliegan herramientas de gestión remota y comienza el movimiento lateral por la red. Para ello utilizan tanto herramientas integradas de Windows como PowerShell y PsExec, como servicios legítimos de administración, incluidos Atera, AnyDesk y ConnectWise. Estas herramientas ayudan a enmascarar la actividad como operaciones normales del personal de TI.
La etapa siguiente es la recopilación de credenciales. Los atacantes extraen contraseñas de la memoria de procesos, usan utilidades como Mimikatz y obtienen acceso a los controladores de dominio. Esto proporciona control total sobre la red y abre la vía para propagar el código malicioso a otros sistemas. Paralelamente se desactivan o debilitan mecanismos de protección, incluido el antivirus, para que nada impida la fase final del ataque.
Antes de cifrar los datos, Storm-1175 suele copiar los archivos y enviarlos a servidores externos. Para ello emplean compresores y herramientas de sincronización capaces de transferir grandes volúmenes de información de forma discreta. A continuación se ejecuta el ransomware Medusa: bloquea el acceso a los datos y va acompañado de la amenaza de publicar la información robada.
Los analistas señalan la alta velocidad de las operaciones. A veces desde la primera intrusión hasta el despliegue del cifrador transcurre menos de un día, con más frecuencia varios días. Este ritmo hace que las medidas tradicionales de respuesta sean menos eficaces y exige un control permanente de la superficie externa de ataque.
La actividad de Storm-1175 afectó a organizaciones de los sectores de salud, educación, finanzas y servicios profesionales en EE. UU., Reino Unido y Australia. La conclusión principal del informe es que incluso las vulnerabilidades conocidas siguen siendo un factor crítico de riesgo si las actualizaciones se retrasan. La corrección rápida de las vulnerabilidades y el control del acceso a los servicios externos siguen siendo medidas clave de protección.