Lectura rápida

Cuánto tiempo pasan los hackers detrás del servidor previo al ataque

Un caso reciente que ocurrió en EE.UU. demostró que los delincuentes pueden estar hasta cinco meses antes de pasar a la acción.

23 Jun 2022

Redacción Innovación Digital 360

Hackers

Unos atacantes que violaron las puertas de acceso de un servidor gubernamental de Estados Unidos, pasaron hasta cinco meses allí dentro antes de implementar un ataque de ransomware

Según publicó una compañía mundial de ciberseguridad, los delincuentes, previo a lanzar el ransomware Lockbit y robar datos, instalaron un criptominero. 

Tal como trascendió, los atacantes que se infiltraron en dicho servidor (vulnerable) no eran expertos. De hecho, las fuentes deslizan que tenían diferentes niveles de experiencia. Al respecto, Andrew Brandt, investigador de seguridad, explicó que se trató de un “ataque muy desordenado”. 

Profundizó que los ciberatacantes interrumpieron el servidor, hurgaron en la red y usaron el servidor comprometido para buscar en Google “una combinación de versiones pirateadas y gratuitas de piratas informáticos y legítimos”.

Continuando con el relato, Brandt deslizó que la naturaleza de la actividad de ataque cambió cuatro meses después y, con la presunta incorporación de atacantes más experimentados, robaron datos y cifraron archivos en varias máquinas al implementar el ransomware Lockbit.

Cómo procedió el ataque

El ataque data de septiembre de 2021 y los investigadores reconocieron que el punto de acceso inicial fue un puerto abierto de protocolo de escritorio remoto (RDP). Más tarde, buscaron dentro de un navegador del servidor vulnerado las herramientas que usarían, para luego intentar instalarlas. 

Tal como publicó Economis, la búsqueda de herramientas llevó a los atacantes a sitios de descarga dudosos que enviaban un adware al servidor vulnerado, en lugar de las herramientas que estaban buscando.

A mediados de enero, con signos de actividad más enfocada y hábil, los comportamientos de los atacantes cambiaron notablemente: primero, los delincuentes apuntaron a borrar el criptominero malicioso y desinstalar el software de seguridad. Los atacantes observaron que el objetivo había dejado sin darse cuenta, una función de protección desactivada. Que finalmente ellos supieron aprovechar.

@RESERVADOS TODOS LOS DERECHOS
I
Redacción Innovación Digital 360

Nota 1 de 4