{"id":160855,"date":"2025-10-14T07:54:46","date_gmt":"2025-10-14T14:54:46","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=160855"},"modified":"2025-10-16T06:43:39","modified_gmt":"2025-10-16T13:43:39","slug":"anatomy-of-an-attack-blacksuit-ransomware-blitz","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/anatomy-of-an-attack-blacksuit-ransomware-blitz\/","title":{"rendered":"Anatom\u00eda de un ataque: el \"ataque rel\u00e1mpago de BlackSuit\" a un fabricante mundial de equipos"},"content":{"rendered":"

Unit 42 brind\u00f3 <\/span> recientemente asistencia a un destacado fabricante que sufri\u00f3 un grave ataque de ransomware orquestado por Ignoble Scorpius,<\/a> el grupo que distribuye el ransomware BlackSuit. Este incidente sirve para recordar c\u00f3mo un problema aparentemente menor (en este caso, un \u00fanico conjunto de credenciales VPN comprometidas) puede provocar una crisis corporativa a gran escala con un impacto significativo<\/span> en los resultados financieros.<\/p>\n

<\/a>El ataque: combinaci\u00f3n de reconocimiento y ransomware<\/h2>\n

El ataque, orquestado por <\/span> Ignoble Scorpius comenz\u00f3 con una llamada de phishing de voz (vishing). El atacante se hizo pasar por el servicio de asistencia t\u00e9cnica de TI de la empresa y enga\u00f1\u00f3 a un empleado para que introdujera sus credenciales VPN leg\u00edtimas en un sitio de phishing.<\/p>\n

Con estas credenciales, el actor de amenazas obtuvo acceso inicial a la red e inmediatamente ampli\u00f3 sus privilegios. Ejecut\u00f3 un ataque DCSync<\/a> en un controlador de dominio para robar credenciales con privilegios elevados, incluida una cuenta de servicio clave. Con estas credenciales comprometidas, se movi\u00f3 lateralmente por la red utilizando RDP y SMB, empleando herramientas como Advanced IP Scanner, y SMBExec para mapear la red e identificar objetivos de alto valor.<\/p>\n

Los atacantes establecieron la persistencia mediante la implementaci\u00f3n de AnyDesk y un RAT personalizado en un controlador de dominio, configurado como una tarea programada para sobrevivir a los reinicios. Es importante se\u00f1alar que los actores de amenazas suelen abusar y aprovecharse de productos leg\u00edtimos como AnyDesk con fines maliciosos. No estamos insinuando que el producto leg\u00edtimo sea defectuoso. A continuaci\u00f3n, los atacantes comprometieron un segundo controlador de dominio, extrajeron la base de datos NTDS.dit<\/span> que conten\u00eda todos los hash de contrase\u00f1as de los usuarios y exfiltraron m\u00e1s de 400 GB de datos utilizando una utilidad rclone<\/span> modificada.<\/span> Para cubrir sus huellas, los actores de amenazas implementaron CCleaner para borrar las pruebas forenses antes de lanzar el golpe final: el ransomware BlackSuit, orquestado a trav\u00e9s de Ansible, cifr\u00f3 simult\u00e1neamente cientos de m\u00e1quinas virtuales en aproximadamente 60 hosts VMware ESXi, interrumpiendo las operaciones en toda la infraestructura.<\/p>\n

<\/a>C\u00f3mo ayud\u00f3 Unit 42<\/h2>\n

Cuando se contrat\u00f3 a Unit 42, ayudamos al cliente a ampliar su implementaci\u00f3n de Cortex XDR de 250 a m\u00e1s de 17.000<\/span> endpoints, lo que proporcion\u00f3 visibilidad en toda la empresa para rastrear cada movimiento del atacante. Tambi\u00e9n aprovechamos Cortex XSOAR para automatizar las acciones de contenci\u00f3n, lo que impidi\u00f3 que el ataque se propagara a\u00fan m\u00e1s.<\/p>\n

Nuestra investigaci\u00f3n identific\u00f3 la ruta completa del ataque y dio lugar a algunas recomendaciones cr\u00edticas, entre las que se incluyen:<\/p>\n