Además de intentar abusar del RDP a través de ataques de fuerza bruta o la compra de credenciales de acceso en el mercado clandestino, la explotación de vulnerabilidades es una de las técnicas más utilizadas por las distintas familias de ransomware para lograr acceso en las máquinas de las víctimas y posteriormente a las redes corporativas. Hablamos desde zero days hasta viejas vulnerabilidades reportadas hace algunos años. Recordemos que en tiempos de pandemia las organizaciones se han visto forzadas a depender del uso de ciertas tecnologías que hicieran posible continuar con sus operaciones de manera remota y que en este contexto los grupos han abusado de vulnerabilidades en herramientas utilizadas para el acceso remoto, como fueron las CVE en productos de Citrix y Pulse Secure, por nombrar algunos.
Un ejemplo que muestra cómo ha evolucionado la escena del ransomware fue el ataque de REvil en el cual aprovecharon de una zero-day en el software Kaseya VSA que les permitió realizar un ataque de cadena de suministro y comprometer a cerca de 1500 compañías a lo largo del mundo. Otro caso reciente fue el de la zero-day en MSHTML que afecta a Windows (CVE-2021-40444) y que Microsoft confirmó hace unos pocos días que fue utilizada en campañas que buscaban distribuir ransomware. Pero estos son solo algunos casos a modo de ejemplo en los que las bandas de ransomware han intentado abusar de vulnerabilidades nuevas a poco de haber salido a la luz. Lo que pone de manifiesto esta peligrosa realidad es que los cibercriminales detrás de estos grupos definitivamente están atentos y que tienen la capacidad de obtener o incluso crear exploits para nuevas vulnerabilidades o desconocidas, lo que demuestra los recursos que tienen.
Vulnerabilidades más explotadas por grupos de ransomware
En este contexto, un conjunto de investigadores creó una lista en la que recopiló más de 40 vulnerabilidades que han sido abusadas por alguno de los diversos grupos de ransomware y sus afiliados para lograr acceso inicial a los sistemas de sus víctimas. La iniciativa fue del investigador Allan Liska a través de su cuenta de Twitter y contó con la participación de la comunidad de especialistas que fueron sugiriendo distintas CVE que han sido utilizadas en algún ataque de ransomware.
So, we are up to 42 vulnerabilities across 17 technologies (with 1 pending) that ransomware groups exploit for initial access. This is why preaching “just patch” isn’t good enough. I don’t know what the answer is, but what we’re doing clearly isn’t working. https://t.co/oYBRUwTWf3
— Allan “Ransomware Sommelier🍷” Liska (@uuallan) September 17, 2021
Como dijimos anteriormente, el incremento del teletrabajo y la necesidad del uso de soluciones VPN y herramientas para trabajar a distancia fue algo que evidentemente estuvo en la consideración de los cibercriminales, ya que entre las tecnologías utilizadas para este tipo de ataques estuvieron presentes soluciones VPN como las de Pulse Secure o Fortinet, además de otras tecnologías como Cytrix Hypervisor, Citrix Application Delivery Controller, Citrix Gateway, Microsoft Exchange Server, entre otras.
Ante este escenario, es importante que las organizaciones hagan un análisis de las tecnologías que utilizan para evaluar la superficie de ataque propia y de esta manera tomar medidas que permitan minimizar los riesgos, sobre todo si utilizan las tecnologías mencionadas en la lista.