Unos atacantes que violaron las puertas de acceso de un servidor gubernamental de Estados Unidos, pasaron hasta cinco meses allí dentro antes de implementar un ataque de ransomware.
Según publicó una compañía mundial de ciberseguridad, los delincuentes, previo a lanzar el ransomware Lockbit y robar datos, instalaron un criptominero.
Tal como trascendió, los atacantes que se infiltraron en dicho servidor (vulnerable) no eran expertos. De hecho, las fuentes deslizan que tenían diferentes niveles de experiencia. Al respecto, Andrew Brandt, investigador de seguridad, explicó que se trató de un “ataque muy desordenado”.
Profundizó que los ciberatacantes interrumpieron el servidor, hurgaron en la red y usaron el servidor comprometido para buscar en Google “una combinación de versiones pirateadas y gratuitas de piratas informáticos y legítimos”.
Continuando con el relato, Brandt deslizó que la naturaleza de la actividad de ataque cambió cuatro meses después y, con la presunta incorporación de atacantes más experimentados, robaron datos y cifraron archivos en varias máquinas al implementar el ransomware Lockbit.
Cómo procedió el ataque
El ataque data de septiembre de 2021 y los investigadores reconocieron que el punto de acceso inicial fue un puerto abierto de protocolo de escritorio remoto (RDP). Más tarde, buscaron dentro de un navegador del servidor vulnerado las herramientas que usarían, para luego intentar instalarlas.
Tal como publicó Economis, la búsqueda de herramientas llevó a los atacantes a sitios de descarga dudosos que enviaban un adware al servidor vulnerado, en lugar de las herramientas que estaban buscando.
A mediados de enero, con signos de actividad más enfocada y hábil, los comportamientos de los atacantes cambiaron notablemente: primero, los delincuentes apuntaron a borrar el criptominero malicioso y desinstalar el software de seguridad. Los atacantes observaron que el objetivo había dejado sin darse cuenta, una función de protección desactivada. Que finalmente ellos supieron aprovechar.