De un parche olvidado al confinamiento total: cómo los hackers convirtieron una falla de ActiveMQ en un caos de ransomware

Una brecha en dos actos

El ataque comenzó a mediados de febrero de 2024, apuntando a un servidor Apache ActiveMQ expuesto a Internet. Al explotar la vulnerabilidad del protocolo Java OpenWire, los atacantes ejecutaron código de forma remota, cargando una configuración maliciosa de Java Spring. Esto desencadenó una reacción en cadena: CertUtil descargó un stager de Metasploit, que entregó el control a los servidores de comando y control de los actores de amenazas.

En solo 40 minutos, los adversarios habían escalado privilegios a SYSTEM, volcado credenciales de la memoria de LSASS y comenzado a escanear la red usando tráfico SMB. Armados con una cuenta de administrador de dominio, se movieron lateralmente, desplegando cargas útiles de Metasploit y recolectando aún más credenciales - esta vez, tropezando con una cuenta de servicio privilegiada crítica para las siguientes etapas.

La persistencia se estableció instalando AnyDesk como un servicio AutoStart y habilitando RDP mediante scripts personalizados. Se borraron los registros de eventos en un intento de borrar sus huellas, pero el antivirus activo frustró algunos intentos de movimiento lateral. Curiosamente, los atacantes cometieron varios errores de sintaxis en los comandos, lo que sugiere inexperiencia con Windows o un script de ataque defectuoso. Tras un día, perdieron el acceso - pero su historia estaba lejos de terminar.

El regreso - y el ransomware

Dieciocho días después, los mismos atacantes regresaron, explotando nuevamente la misma vulnerabilidad e infraestructura. Esta vez, usando credenciales robadas previamente, accedieron a sistemas clave vía RDP, desplegando AnyDesk y herramientas de escaneo de red. Luego vino el acto principal: ransomware LockBit, depositado en servidores de respaldo y archivos y ejecutado durante cuatro horas a través de sesiones RDP. Los binarios coincidían con la firma de LockBit, pero la nota de rescate rompía la tradición - indicando a las víctimas negociar mediante una aplicación de mensajería privada, no los canales oficiales de LockBit.

Desde la primera brecha hasta la detonación, los atacantes esperaron 19 días. Una vez que reingresaron, los defensores tuvieron menos de 90 minutos antes de que comenzara el cifrado masivo - un testimonio del peligro de retrasar los parches y de las tácticas en evolución de las bandas de ransomware.

Conclusión

Este incidente es un recordatorio contundente: aplicar parches no es solo una tarea de TI, sino una defensa de primera línea. Con atacantes ahora dispuestos a esperar, aprender y atacar dos veces, las organizaciones deben cerrar la ventana de oportunidad antes de que una sola actualización perdida se convierta en una invitación abierta al desastre.

WIKICROOK

• Apache ActiveMQ: Apache ActiveMQ es un intermediario de mensajes de código abierto que transmite datos de forma segura entre aplicaciones utilizando varios protocolos de mensajería y admite integración empresarial.
• CVE: CVE, o Common Vulnerabilities and Exposures, es un sistema para identificar y rastrear de manera única fallas de ciberseguridad conocidas públicamente en software y hardware.
• Metasploit: Metasploit es un popular conjunto de herramientas de código abierto que permite a los expertos en seguridad probar y explotar vulnerabilidades en sistemas informáticos con fines defensivos.
• LSASS: LSASS es un proceso de Windows que gestiona políticas de seguridad y credenciales, por lo que es un objetivo común para atacantes que buscan robar información de usuarios.
• RDP (Remote Desktop Protocol): RDP es un protocolo que permite a los usuarios acceder y controlar remotamente otra computadora a través de Internet, utilizado frecuentemente para soporte remoto y administración de servidores.