{"id":1568603,"date":"2025-02-07T07:12:11","date_gmt":"2025-02-07T07:12:11","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-que-explotan-fallas-de-simplehelp-rmm-para-acceso-persistente-y-ransomware\/"},"modified":"2025-02-07T07:12:16","modified_gmt":"2025-02-07T07:12:16","slug":"los-piratas-informaticos-que-explotan-fallas-de-simplehelp-rmm-para-acceso-persistente-y-ransomware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-que-explotan-fallas-de-simplehelp-rmm-para-acceso-persistente-y-ransomware\/","title":{"rendered":"Los piratas inform\u00e1ticos que explotan fallas de SimpleHelp RMM para acceso persistente y ransomware"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>07 de febrero de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Vulnerabilidad \/ inteligencia de amenazas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha observado que los actores de amenaza explotan fallas de seguridad recientemente divulgadas en el software de monitoreo y gesti\u00f3n remota de SimpleHelp (RMM) como precursor de lo que parece ser un ataque de ransomware.<\/p>\n

La intrusi\u00f3n aprovech\u00f3 las vulnerabilidades ahora paradas para obtener acceso inicial y mantener el acceso remoto persistente a una red de objetivos no especificada, dijo el efecto de campo de la compa\u00f1\u00eda de seguridad cibern\u00e9tica en un informe compartido con las noticias de los hackers.<\/p>\n

“El ataque implic\u00f3 la ejecuci\u00f3n r\u00e1pida y deliberada de varias t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) posteriores a la compromiso, incluido el descubrimiento de redes y del sistema, la creaci\u00f3n de cuentas de administrador y el establecimiento de mecanismos de persistencia, lo que podr\u00eda haber llevado a la implementaci\u00f3n de ransomware”, Investigadores de seguridad Ryan Slaney y Daniel Albrecht dicho<\/a>.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Las vulnerabilidades en cuesti\u00f3n, CVE-2024-57726, CVE-2024-57727 y CVE-2024-57728 fueron revelados por Horizon3.ai el mes pasado. La explotaci\u00f3n exitosa de los agujeros de seguridad podr\u00eda permitir la divulgaci\u00f3n de informaci\u00f3n, la escalada de privilegios y la ejecuci\u00f3n de c\u00f3digo remoto.<\/p>\n

Desde entonces, se han abordado en las versiones de SimpleHelp 5.3.9, 5.4.10 y 5.5.8 lanzados el 8 y 13 de enero de 2025.<\/p>\n

Solo semanas despu\u00e9s, Arctic Wolf dijo que observ\u00f3 una campa\u00f1a que implicaba obtener acceso no autorizado a dispositivos que ejecutan un software de escritorio remoto SimpleHelp como un vector de acceso inicial.<\/p>\n

Si bien no estaba claro en ese momento si estas vulnerabilidades se utilizaron, los \u00faltimos hallazgos de Field Effect confirman que est\u00e1n siendo armados activamente como parte de las cadenas de ataque de ransomware.<\/p>\n

En el incidente analizado por la compa\u00f1\u00eda canadiense de ciberseguridad, el acceso inicial se obtuvo a un punto final objetivo a trav\u00e9s de una instancia vulnerable de SimpleHelp RMM (“194.76.227[.]171 “) Ubicado en Estonia.<\/p>\n

Al establecer una conexi\u00f3n remota, se ha observado que el actor de amenaza realiza una serie de acciones posteriores a la explotaci\u00f3n, incluidas las operaciones de reconocimiento y descubrimiento, as\u00ed como la creaci\u00f3n de una cuenta de administrador llamada “sqladmin” para facilitar el despliegue del marco de fragmentos de fuente abierta.<\/p>\n

Posteriormente, la persistencia ofrecida por Sliver fue abusada para moverse lateralmente a trav\u00e9s de la red, estableciendo una conexi\u00f3n entre el controlador de dominio (DC) y el cliente vulnerable de SimpleHelp RMM y, en \u00faltima instancia, instalando un t\u00fanel de CloudFlare para enrutar sigilmente el tr\u00e1fico a los servidores bajo el control del atacante a trav\u00e9s de la Web a trav\u00e9s de la web Infraestructura de la empresa de infraestructura.<\/p>\n

Field Effect dijo que el ataque se detect\u00f3 en esta etapa, evitando que el intento de ejecuci\u00f3n del t\u00fanel tenga lugar y aislando el sistema de la red para garantizar un mayor compromiso.<\/p>\n

En el caso de que el evento no fue marcado, el t\u00fanel CloudFlare podr\u00eda haber servido como conducto para recuperar cargas \u00fatiles adicionales, incluido el ransomware. La compa\u00f1\u00eda dijo que las t\u00e1cticas se superponen con la de los ataques de ransomware Akira reportado previamente<\/a> En mayo de 2023, aunque tambi\u00e9n es posible que otros actores de amenaza hayan adoptado la artesan\u00eda.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Esta campa\u00f1a demuestra solo un ejemplo de c\u00f3mo los actores de amenaza est\u00e1n explotando activamente las vulnerabilidades de SimpleHelp RMM para obtener un acceso persistente no autorizado a las redes de inter\u00e9s”, dijeron los investigadores. “Las organizaciones con exposici\u00f3n a estas vulnerabilidades deben actualizar a sus clientes RMM lo antes posible y considerar adoptar una soluci\u00f3n de ciberseguridad para defenderse de las amenazas”.<\/p>\n

El desarrollo se produce cuando Silent Push revel\u00f3 que est\u00e1 viendo un aumento en el uso del software RMM ScreenConnect en hosts a prueba de balas como una forma para que los actores de amenaza obtengan acceso y controlen los puntos finales de las v\u00edctimas.<\/p>\n

“Los atacantes potenciales han estado utilizando la ingenier\u00eda social para atraer a las v\u00edctimas a instalar copias de software leg\u00edtimas configuradas para operar bajo el control del actor de amenaza”, la compa\u00f1\u00eda dicho<\/a>. “Una vez instalados, los atacantes usan el instalador alterado para obtener acceso r\u00e1pidamente a los archivos de la v\u00edctima”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n