Ataque de ransomware a MSPs mediante phishing que imita alertas de ScreenConnect
Recientemente, se ha detectado una campaña de ransomware dirigida a Proveedores de Servicios Gestionados (MSPs) mediante correos electrónicos de phishing diseñados para simular alertas de autenticación del software ScreenConnect, una herramienta de gestión y monitorización remota (RMM). Este ataque explota la confianza de los administradores en las notificaciones legítimas del sistema, lo que aumenta su efectividad.
Método de ataque: Phishing sofisticado
Los actores de amenazas enviaron mensajes fraudulentos que imitaban alertas de inicio de sesión de ScreenConnect, incluyendo:
- Logotipos y diseño idénticos a los correos oficiales.
- Enlaces maliciosos que redirigían a páginas falsas de autenticación.
- Solicitud de credenciales bajo el pretexto de “verificación de seguridad”.
Una vez que los administradores introducían sus credenciales, los atacantes obtenían acceso a los sistemas RMM, permitiéndoles desplegar ransomware en la infraestructura de los MSPs y, por extensión, en los sistemas de sus clientes.
Técnicas y herramientas utilizadas
Este ataque empleó técnicas avanzadas de ingeniería social y malware, entre ellas:
- Credential Harvesting: Páginas de phishing con código JavaScript para capturar credenciales en tiempo real.
- Lateral Movement: Uso de herramientas como Cobalt Strike para moverse lateralmente dentro de la red.
- Ransomware Qilin: Variante conocida por cifrar archivos y exigir rescates en criptomonedas.
Implicaciones para los MSPs
Los MSPs son objetivos prioritarios debido a su acceso a múltiples redes cliente. Un compromiso exitoso puede escalar rápidamente, afectando a decenas o cientos de organizaciones. Entre los riesgos destacan:
- Pérdida de datos críticos y tiempo de inactividad prolongado.
- Daño reputacional y pérdida de confianza de los clientes.
- Costes elevados asociados a la recuperación y posibles multas regulatorias.
Medidas de mitigación
Para reducir el riesgo de ataques similares, se recomienda:
- Implementar autenticación multifactor (MFA) en todas las cuentas RMM.
- Capacitar a los empleados en identificación de phishing, verificando URLs y remitentes.
- Utilizar soluciones de detección de correos fraudulentos basadas en IA.
- Auditar periódicamente los logs de acceso para detectar actividades sospechosas.
Este incidente subraya la importancia de adoptar un enfoque proactivo en ciberseguridad, especialmente en sectores con alto impacto en la cadena de suministro digital. Para más detalles, consulta la fuente original.
