General

Anatomía de un ataque: el "ataque relámpago de BlackSuit" a un fabricante mundial de equipos

Clock Icon 4 lectura mínima
Related Products
CortexCortex XDRCortex XSOARNext-Generation FirewallUnit 42 Incident Response iconUnit 42 Incident Response

Unit 42 prestó recientemente asistencia a un destacado fabricante que sufrió un grave ataque de ransomware orquestado por Ignoble Scorpius, el grupo que distribuye el ransomware BlackSuit. Este incidente sirve para recordar cómo un problema aparentemente menor (en este caso, un único conjunto de credenciales VPN comprometidas) puede provocar una crisis corporativa a gran escala con un impacto tremendo en los resultados financieros.

El ataque: una combinación de reconocimiento y ransomware

El ataque Ignoble Scorpius comenzó con una llamada de phishing de voz (vishing). El atacante se hizo pasar por el servicio de asistencia técnica de TI de la empresa y engañó a un empleado para que introdujera sus credenciales VPN legítimas en un sitio de phishing.

Con estas credenciales, el actor de amenazas obtuvo acceso inicial a la red e inmediatamente amplió sus privilegios. Ejecutó un ataque DCSync en un controlador de dominio para robar credenciales con privilegios elevados, incluida una cuenta de servicio clave. Con estas credenciales comprometidas, se movió lateralmente por la red utilizando RDP y SMB, empleando herramientas como Advanced IP Scanner y SMBExec para mapear la red e identificar objetivos de alto valor.

Los atacantes establecieron la persistencia mediante la implementación de AnyDesk y un RAT personalizado en un controlador de dominio, configurado como una tarea programada para sobrevivir a los reinicios. Es importante señalar que los actores de amenazas suelen abusar y aprovecharse de productos legítimos como AnyDesk con fines maliciosos. No estamos insinuando que el producto legítimo sea defectuoso. A continuación, los atacantes comprometieron un segundo controlador de dominio, extrajeron la base de datos NTDS.dit que contenía todos los hash de contraseñas de los usuarios y exfiltraron más de 400 GB de datos utilizando una utilidad rclone renombrada. Para cubrir sus huellas, los actores de amenazas implementaron CCleaner para borrar las pruebas forenses antes de lanzar el golpe final: el ransomware BlackSuit, orquestado a través de Ansible, cifró simultáneamente cientos de máquinas virtuales en aproximadamente 60 hosts VMware ESXi, interrumpiendo las operaciones en toda la infraestructura.

Cómo ayudó Unit 42

Cuando se contrató a Unit 42, ayudamos al cliente a ampliar su implementación de Cortex XDR de 250 a más de 17 000 endpoints, lo que proporcionó visibilidad en toda la empresa para rastrear cada movimiento del atacante. También aprovechamos Cortex XSOAR para automatizar las acciones de contención, lo que impidió que el ataque se propagara aún más.

Nuestra investigación identificó la ruta completa del ataque y dio lugar a algunas recomendaciones críticas, entre las que se incluyen:

  • Seguridad de la red: reemplazar los firewalls Cisco ASA al final de su vida útil por firewalls de nueva generación (NGFW), implementar la segmentación de la red y restringir el acceso administrativo a los sistemas críticos (como DC y hosts ESXi) a VLAN de gestión dedicadas.
  • Gestión de acceso e identidad: imponer la autenticación de varios factores (MFA) para todos los accesos remotos, desactivar NTLM o exigir EPA, rotar todas las credenciales y restringir el uso de cuentas de servicio para inicios de sesión interactivos como RDP.
  • Fortalecimiento de endpoints y servidores: bloquear EFSRPC con filtros RPC para prevenir ataques PetitPotam/DCSync, implementar y mantener una solución XDR totalmente actualizada en todos los endpoints y aplicar una política estricta para eliminar los sistemas EOL.
  • Registro y supervisión: mejorar la retención de registros a más de 90 días para fuentes críticas (ESXi, firewalls, Nasuni), garantizar que los registros se analicen correctamente para un análisis eficaz y habilitar funciones como la validación de registros de AWS CloudTrail.

El resultado

El cliente logró varios resultados clave:

  • Demanda económica rechazada: logramos rechazar la demanda de rescate de $20 millones, de modo que el cliente no tuvo que pagar ningún rescate.
  • Mayor visibilidad: la colaboración amplió la visibilidad de los endpoints del cliente de 250 a más de 17 000, lo que creó una base sólida para futuras operaciones de seguridad.
  • Orientación estratégica: proporcionamos orientación estratégica personalizada después del incidente, ayudando al cliente a fortalecer sus defensas y prevenir futuros ataques.
  • Supervisión continua: después del incidente, el cliente contrató los servicios de detección y respuesta gestionadas (MDR) de Unit 42 para tener un monitoreo continuo y estar mejor preparado para lidiar con amenazas futuras.

La conclusión

Este ataque sirve como un claro recordatorio de que incluso una sola credencial comprometida puede crear un efecto dominó que conduzca a una vulneración catastrófica de la seguridad. Las tácticas rápidas y sofisticadas de los actores de amenazas como Ignoble Scorpius demuestran la necesidad crítica de una estrategia de defensa proactiva y multicapa.

Al implementar la MFA en todos los puntos de acceso remoto e integrar una sólida visibilidad de los endpoints, la contención automatizada y la orientación de expertos, las organizaciones no solo pueden interrumpir un ataque en curso, sino también reforzar sus defensas para prevenir incidentes futuros. Y lo que es más importante, las inversiones en evaluaciones de seguridad proactivas han demostrado generar dividendos que superan con creces los costes del impacto operativo y financiero de un ataque de ransomware a gran escala.

¿Le interesa conocer más sobre las últimas tendencias en materia de ataques? Si es así, eche un vistazo a nuestro Informe global de respuesta ante incidentes de Unit 42 de 2025, que resume las conclusiones más importantes basadas en nuestra experiencia directa en la respuesta a ciberataques reales en más de 500 organizaciones de 38 países.

Recursos adicionales

Nueve historias de Unit 42 en acción

El estado de la respuesta ante incidentes de ciberseguridad

42 consejos para lograr la resiliencia cibernética

Acerca de Unit 42

Unit 42 fortalece a su equipo con las herramientas y la experiencia necesarias para adelantarse a las amenazas y proteger su empresa. Con nuestras estrategias y conocimientos comprobados en miles de intervenciones, ayudaremos a su equipo a manejar las situaciones más difíciles con confianza.

Etiquetas

ÍNDICE

Artículos relacionados

Relacionados General Recursos

Enlarged Image

Obtenga las últimas noticias, invitaciones a eventos y alertas de amenazas

Default Heading

Read the article Right Arrow