Durante el último mes, las soluciones de seguridad, los recursos de inteligencia sobre amenazas y los analistas SOC de Barracuda Managed XDR observaron un aumento  de los ataques de ransomware dirigidos a VPN SonicWall vulnerables y a las las cuentas de Microsoft 365. Además se detectaron Scripts Python utilizados para ejecutar herramientas maliciosas sin ser detectados.

El grupo de ransomware como servicio Akira está atacando a organizaciones a través de dispositivos VPN vulnerables de SonicWall. Barracuda emitió un aviso de seguridad sobre esta amenaza en agosto. Tres meses después, el nivel de peligro sigue siendo alto, ya que los ataques continúan evolucionando.

Los ataques aprovechan una vulnerabilidad de hace un año que ya ha sido parcheada (CVE-2024-40766). Están teniendo éxito porque no todos los usuarios han aplicado el parche y porque lo atacantes pueden utilizar credenciales robadas (obtenidas antes de que se aplicara el parche) para interceptar contraseñas de un solo uso (OPT). Estas generan tokens de inicio de sesión válidos y permiten a los atacantes eludir la autenticación multifactorial 8MFA), incluso en sistemas que han sido actualizados.

Se sabe que Akira pasa muy rápidamente de la infección al cifrado. Recientemente se ha descubierto que utiliza herramientas legítimas, como software de supervisión y gestión remota (RMM), para evitar su detección y desactivar las herramientas se seguridad y los sistemas de copia de seguridad para impedir la recuperación.

Por otro lado, los analistas del SOC de Barracuda también han observado un aumento en el uso de herramientas de piratería informática lanzadas y ejecutadas por scripts (programas) de Python. Entre estas herramientas se encuentran el popular ladrón de contraseñas Mimikatz, el lenguaje de scripting legítimo PowerShell y herramientas de relleno de credenciales/scripts de automatización para probar nombres de usuario y contraseñas robados en sitios web.

El uso de scripts de Python podría ser una forma para que los atacantes eviten ser detectados o aceleren y automaticen sus ataques. Por ejemplo, los scripts de Python pueden ayudar a disimular la ejecución de herramientas maliciosas con programas de apariencia legítima que no despiertan sospechas.

El uso de Python para automatizar la ejecución de herramientas de piratería también reduce la necesidad de intervención manual que podría activar una alerta de seguridad, y aumenta la velocidad y la eficiencia de los ataques. Esto permite a los atacantes llevar a cabo rápidamente sus ataques, reduciendo el margen de tiempo para la detección y la respuesta. Los scripts automatizados de Python también pueden ejecutar múltiples operaciones simultáneamente, lo que permite a los atacantes realizar varias acciones a la vez, como buscar vulnerabilidades mientras extraen datos.

En última instancia, Barracuda está observando un aumento en la actividad de inicio de sesión inusual en las cuentas de Microsoft 365. Se trata de inicios de sesión que no coinciden con el comportamiento normal del usuario, que provienen de una ubicación o dispositivos inesperado o en un momento en el que el usuario no suele estar conectado. Esto puede indicar que un atacante ha comprometido las credenciales del usuario y está intentando acceder a la cuenta. Este aumento refleja la creciente popularidad de Microsoft 365 como herramienta de productividad empresarial con múltiples aplicaciones integradas.