La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) reveló el jueves que los actores de ransomware se dirigen a instancias de monitorización y administración remota de SimpleHelp Remote (RMM) para comprometer a los clientes de un proveedor de software de facturación de servicios públicos no identificados.
«Este incidente refleja un patrón más amplio de actores de ransomware que se dirigen a organizaciones a través de versiones sin parpadear de SimpleHelp RMM desde enero de 2025», dijo la agencia en un aviso.
A principios de este año, SimpleHelp reveló un conjunto de fallas (CVE-2024-57727, CVE-2024-57728 y CVE-2024-57726) que podrían dar lugar a una divulgación de información, una escalada privilegiada y una ejecución de código remoto.
Desde entonces, las vulnerabilidades se han repetido en la naturaleza, incluso por grupos de ransomware como Dragonforce, para violar objetivos de interés. El mes pasado, Sophos reveló que el actor de amenazas accedió a la SimpleHelp de un proveedor de servicios administrados implementada por el actor de amenazas utilizando estos defectos, y luego lo aprovechó para que pivote a otros clientes aguas abajo.
CISA dijo que las versiones SimpleHelp 5.5.7 y anteriores contienen múltiples vulnerabilidades, incluidas CVE-2024-57727, y que los equipos de ransomware lo están explotando para acceder a las instancias simples de SimpleHelp de los clientes aguas abajo para ataques de doble extorsión.
La agencia ha esbozado las siguientes mitigaciones que las organizaciones, incluidos los proveedores de servicios de terceros que hacen uso de SimpleHelp para conectarse a los clientes aguas abajo, pueden implementar mejor para responder a la actividad de ransomware –
- Identificar y aislar instancias de servidor SimpleHelp de Internet y actualizarlas a la última versión
- Notifique a los clientes aguas abajo y les indique que tomen medidas para asegurar sus puntos finales
- Realice acciones de caza de amenazas para indicadores de compromiso y monitoreo de tráfico inusual entrante y saliente desde el servidor SimpleHelp (para clientes aguas abajo)
- Desconecte los sistemas afectados de Internet si han sido encriptados por ransomware, reinstalar el sistema operativo y restaurar los datos de una copia de seguridad limpia
- Mantener copias de seguridad de limpieza periódica y fuera de línea
- Abstenerse de exponer servicios remotos como el protocolo de escritorio remoto (RDP) en la web
CISA dijo que no alienta a las víctimas a pagar rescates, ya que no hay garantía de que el descifrador proporcionado por los actores de amenaza ayude a recuperar los archivos.
«Además, el pago también puede completar adversarios para dirigirse a organizaciones adicionales, alentar a otros actores penales a participar en la distribución de ransomware y/o financiar actividades ilícitas», agregó CISA.
Ataque de ransomware de niebla implementa software de monitoreo de empleados
El desarrollo se produce cuando Symantec, propiedad de Broadcom, detalló un ataque de ransomware de niebla dirigida a una institución financiera no identificada en Asia con una combinación de herramientas pentesteras de código abierto y de código abierto que no se observan en otras intrusiones relacionadas con el ransomware.
FOG es una variante de ransomware detectada por primera vez en mayo de 2024. Al igual que otras operaciones de ransomware, la tripulación motivada financieramente emplea las credenciales de red privada virtual (VPN) comprometidas y las vulnerabilidades del sistema para obtener acceso a la red de una organización y en los datos de cifrado, pero no antes de extenderlo.
Las secuencias de infección alternativas han empleado archivos de Windows Actual (LNK) contenidos en los archivos ZIP, que luego se distribuyen por correo electrónico y ataques de phishing. La ejecución del archivo LNK conduce a la descarga de un script de PowerShell que es responsable de dejar caer un cargador de ransomware que contiene la carga útil del casillero de niebla.
Los ataques también se caracterizan por el uso de técnicas avanzadas para aumentar los privilegios y evadir la detección al implementar el código malicioso directamente en la memoria y deshabilitar las herramientas de seguridad. FOG es capaz de apuntar a los puntos finales de Windows y Linux.
Según Trend Micro, a partir de abril de 2025, los actores de amenaza de niebla han reclamado 100 víctimas en su sitio de fuga de datos desde el comienzo del año, con la mayoría de las víctimas asociadas con la tecnología, la educación, la fabricación y los sectores de transporte.
«Los atacantes utilizaron un software legítimo de monitoreo de empleados llamado Syteca (anteriormente Ekran), que es muy inusual», dijo Symantec. «También implementaron varias herramientas de prueba de pluma de código abierto: GC2, Adaptix y Stowaway, que no se usan comúnmente durante los ataques de ransomware».
Si bien se desconoce el vector de acceso inicial exacto utilizado en el incidente, se ha encontrado que los actores de amenaza usan Stowaway, una herramienta proxy ampliamente utilizada por los grupos de piratería chinos, para entregar Syteca. Vale la pena señalar que GC2 se ha utilizado en ataques llevados a cabo por el grupo de piratería patrocinado por el estado chino APT41 en 2023.
También se descargaron programas legítimos como 7-ZIP, FreeFilesync y Megasync para crear archivos de datos comprimidos para la exfiltración de datos.
Otro aspecto interesante de los ataques es que los atacantes crearon un servicio para establecer la persistencia en la red, varios días después de que se implementó el ransomware. Se dice que los actores de amenaza pasaron unas dos semanas antes de dejar caer el ransomware.
«Este es un paso inusual para ver en un ataque de ransomware, con actividades maliciosas que generalmente cesan en una red una vez que los atacantes han exfiltrado datos e desplegaron el ransomware, pero los atacantes en este incidente parecían desear retener el acceso a la red de la víctima», dijeron los investigadores de Symantec y Carbon Black.
Las tácticas poco comunes han planteado la posibilidad de que la compañía haya sido atacada por razones de espionaje, y que los actores de amenaza desplegaron el ransomware de niebla como una distracción para enmascarar sus verdaderos objetivos o ganar dinero rápido.
La fuga del panel de Lockbit revela a China entre la más dirigida
Los hallazgos también coinciden con las revelaciones de que el esquema Lockbit Ransomware como Service (RAAS) anotó alrededor de $ 2.3 millones en los últimos seis meses, lo que indica que el grupo de delitos electrónicos continúa operando a pesar de varios contratiempos.
Además, el análisis de Trellix sobre la orientación geográfica de Lockbit desde diciembre de 2024 hasta abril de 2025 basada en la fuga del panel administrador de mayo de 2025 ha descubierto que China es uno de los países más dirigidos por los afiliados Iofikdis, Piotrbond y Jamescraig. Otros objetivos prominentes incluyen Taiwán, Brasil y Turquía.
«La concentración de ataques en China sugiere un enfoque significativo en este mercado, posiblemente debido a su gran base industrial y sector manufacturero», dijo el investigador de seguridad Jambul Tologonov.
«A diferencia de los grupos Black Basta y Conti Raas que ocasionalmente sondean los objetivos chinos sin encriptarlos, Lockbit parece dispuesto a operar dentro de las fronteras chinas y no tiene en cuenta las posibles consecuencias políticas, marcando una divergencia interesante en su enfoque».
La filtración del panel de afiliados también ha llevado a Lockbit a anunciar una recompensa monetaria por información verificable sobre «Xoxo de Praga», un actor anónimo que se atribuyó la responsabilidad de la filtración.
Además de eso, Lockbit parece haberse beneficiado de la descontinuación repentina de Ransomhub hacia fines de marzo de 2025, lo que provoca que algunas de las afiliadas de este último, incluidos Baleybeach y Guillaumeatkinson, a la transición a Lockbit y lo obligen a reactivar sus operaciones amid en curso para desarrollar la próxima versión de Ransomware, Lockbit 5.0.
«Lo que esta fuga realmente muestra es la realidad compleja y, en última instancia, menos glamorosa de sus actividades ilícitas de ransomware. Aunque es rentable, está lejos de la operación perfectamente orquestada y masivamente lucrativa que les gustaría que el mundo crea que es», concluyó Tologonov.