A finales de enero de 2025, un administrador de un proveedor de servicios gestionados (MSP) recibió un correo electrónico de phishing bien elaborado que contenía lo que parecía ser una alerta de autenticación para su herramienta de supervisión y gestión remotas (RMM) ScreenConnect. Ese correo electrónico dio lugar a que los actores del ransomware Qilin obtuvieran acceso a las credenciales del administrador y lanzaran ataques de ransomware a los clientes del MSP.
El equipo de inteligencia de amenazas de Sophos MDR considera con gran seguridad que este incidente puede atribuirse a un afiliado de ransomware cuya actividad es rastreada por Sophos como STAC4365. El ataque utilizó una infraestructura, patrones de nombres de dominio, técnicas, herramientas y prácticas similares a las utilizadas en otras campañas de phishing que la inteligencia de amenazas de Sophos MDR descubrió que se remontan a finales de 2022. Esos intentos aprovecharon sitios de phishing creados con el marco de ataque de código abierto adversario en el medio evilginx para recopilar credenciales y cookies de sesión y eludir la autenticación multifactor (MFA).
En este caso, como en otros vinculados a este grupo de amenazas, los atacantes utilizaron dominios ScreenConnect falsos para actuar como proxies del proceso de inicio de sesión real de ScreenConnect. Una vez que el administrador hizo clic en el enlace de inicio de sesión del correo electrónico para revisar la autenticación, fue redirigido a un sitio de phishing malicioso, cloud.screenconnect[.]com.ms, que se hacía pasar por la página de inicio de sesión legítima de ScreenConnect. Una vez que introdujeron sus credenciales en el sitio falso de ScreenConnect, los atacantes pudieron interceptar esas entradas. Sophos cree que el sitio falso de ScreenConnect reenviaba las entradas al sitio legítimo de ScreenConnect para verificar las credenciales y capturar la contraseña de un solo uso basada en el tiempo (TOTP) enviada por ScreenConnect al administrador por correo electrónico.
Tras interceptar las entradas de MFA, el atacante se autenticó con éxito en el portal legítimo de ScreenConnect Cloud utilizando la cuenta de superadministrador del administrador. Esto les otorgó permiso para hacer cualquier cosa dentro de esta instancia de ScreenConnect y condujo a un ataque desplegando Qilin.
Antecedentes: Qilin
Qilin es un programa de ransomware como servicio que lleva en funcionamiento desde 2022, anteriormente operando bajo el nombre de «Agenda». El grupo Qilin recluta afiliados en foros de ciberdelincuencia en ruso. Según Microsoft Threat Intelligence, estos afiliados han crecido este año hasta incluir a un actor estatal norcoreano etiquetado por Microsoft como «Moonstone Sleet».
El ransomware Qilin utiliza un sitio de filtración de datos alojado en Tor para presionar a las víctimas extorsionadas. En mayo de 2024, esa presión se extendió a la Internet abierta cuando los actores de amenazas asociados con el ransomware Qilin lanzaron un sitio de filtración de datos llamado «WikiLeaksV2». Este proyecto se alojó en una dirección IP proporcionada por un proveedor de servicios de Internet ruso que ha estado vinculado a actividades de comando y control (C2), alojamiento de malware y actividades de phishing en el pasado. El sitio permanece activo y estaba vinculado en las notas de rescate dejadas en este incidente.
Antecedentes: STAC4365
STAC4365 está asociado a un patrón de actividades e indicadores comunes a un grupo de sitios de phishing que se remontan a noviembre de 2022. Estos sitios compartían características como la ruta URL y la estructura del sitio, y los dominios asociados a ellos se han centrado en suplantar URL legítimas de ScreenConnect.
| Dominio | Primera actividad |
| account.microsoftonline.com[.]ec | Febrero de 2025 |
| cloud.screenconnect.com[.]ms | Enero de 2025 |
| cloud.screenconnect[.]is | Noviembre de 2024 |
| cloud.screenconnect.com[.]so | Octubre de 2024 |
| cloud.screenconnect.com[.]bo | Julio de 2024 |
| cloud.screenconnect.com[.]cm | Julio de 2024 |
| cloud.screenconnect.com[.]am | Abril de 2024 |
| cloud.screenconnect.com[.]ly | Febrero de 2024 |
| cloud.screenconect[.]com[.]mx | Enero de 2024 |
| cloud.screenconnect[.]co[.]za | Enero de 2024 |
| cloud.screenconnect[.]uk[.]com | Enero de 2024 |
| cloud.screenconnect[.]de[.]com | Noviembre de 2023 |
| cloud.screenconnect.com[.]se | Octubre de 2023 |
| cloud.screenconnect.jpn[.]com | Octubre de 2023 |
| cloud.screenconnect.com[.]ng | Junio de 2023 |
| cloud.screenconnect.com[.]ph | Mayo de 2023 |
| cloud.screenconnect.com[.]vc | Mayo de 2023 |
| cloud.screenconnect[.]cl | Abril de 2023 |
| cloud.screenconnect[.]gr[.]com | Abril de 2023 |
| cloud.screenconect[.]eu | Enero de 2023 |
| cloud.screenconnect[.]co[.]com | Enero de 2023 |
| cloud.screenconnect[.]us[.]com | Enero de 2023 |
| cloud.iscreenconnect[.]com | Diciembre de 2022 |
| cloud.screenconnect[.]app | Noviembre de 2022 |
Figura 4: lista de dominios que coinciden con el patrón de actividad de STAC4365
Para aprovisionar estos sitios de phishing, STAC4365 aprovecha evilginx, un marco de ataque de adversario en el medio de código abierto utilizado para credenciales de phishing y cookies de sesión y que actúa como un retransmisión MFA.
Evilginx2, la última versión, incluye una función de «javascriptRedirect» que los actores de amenazas utilizan para enrutar el tráfico de forma selectiva. STAC4365 aprovecha awstrack[.]me junto con redireccionamientos de JavaScript para garantizar que solo las víctimas seleccionadas, que acceden al sitio de phishing a través del enlace de seguimiento previsto, lleguen a la página de recolección de credenciales, mientras que los que visitan directamente (como los investigadores) son redirigidos al portal de servicio legítimo, evadiendo la detección y el análisis. Esta característica es común en otras plataformas de phishing MFA, como demuestran Rockstar y FlowerStorm.
Cadena de ataque STAC4365 Qilin
Acceso inicial
El señuelo de phishing se dirigió específicamente a la cuenta de administrador del MSP e imitó con precisión una alerta de inicio de sesión de ConnectWise ScreenConnect:
El administrador objetivo hizo clic en el enlace «Iniciar sesión y revisar la alerta de seguridad», que llevó el navegador de la víctima a la página de phishing a través de una redirección maliciosa utilizando Amazon Simple Email Service (SES):
hxxps[:]//b8dymnk3.r.us-east-1.awstrack[.]me/L0/https[:]%2F%2Fcloud.screenconnect[.]com.ms%2FsuKcHZYV/1/010001948f5ca748-c4d2fc4f-aa9e-40d4-afe9-bbe0036bc608-000000/mWU0NBS5qVoIVdXUd4HdKWrsBSI=410
El enlace redirigido resolvió al URI de un dominio que imita a ScreenConnect:
hxxps[:]//cloud.screenconnect[.]com.ms/suKcHZYV/1/010001948f5ca748-c4d2fc4f-aa9e-40d4-afe9-bbe0036bc608-000000/mWU0NBS5qVoIVdXUd4HdKWrsBSI=410
Este URI se utilizó para verificar el objetivo; otras visitas al dominio se redirigieron a la legítima cloud.screenconnect.com. El host en cloud.screenconnect[.]com.ms (186.2.163[.]10) probablemente estaba configurado como un proxy inverso al legítimo dominio ScreenConnect.
Utilizando las credenciales interceptadas y el código MFA, el atacante se conectó al subdominio ScreenConnect del objetivo a través del Panel de Control de ScreenConnect y obtuvo acceso al entorno de gestión remota del MSP.
Persistencia, comando y control
Poco después de autenticarse con éxito en el entorno de ScreenConnect como cuenta de superadministrador, el atacante lanzó una nueva instancia de ScreenConnect utilizando un archivo llamado «ru.msi», que instaló una instancia de ScreenConnect gestionada por el atacante en varios de los clientes gestionados por el MSP.
Detección, acceso a credenciales y movimiento lateral
La instancia maliciosa de ScreenConnect se utilizó en múltiples entornos de clientes para realizar enumeraciones de red y descubrimientos de usuarios, y restablecer numerosas credenciales de cuentas de usuario. Los atacantes también utilizaron la instancia de ScreenConnect para enumerar herramientas legítimas con el fin de obtener acceso a más credenciales locales y ejecutar comandos remotos, así como herramientas de Windows, entre las que se incluyen:
-
PsExec
-
exe (NetExec de GitHub)
-
WinRM
-
Instancia de ScreenConnect
Además, los actores descargaron un archivo llamado «veeam.exe», un ejecutable codificado para explotar CVE-2023-27532, una vulnerabilidad en el servicio Veeam Cloud Backup que permite a un usuario no autenticado solicitar credenciales sin cifrar de la base de datos de configuración local de Veeam. El nombre de este archivo, la ubicación de la ruta y el hash SHA256 son idénticos a uno reportado por Huntress en un ciberataque de 2023 que también aprovechó ScreenConnect pero no resultó en el despliegue de ransomware.
Recolección
Tras las fases de descubrimiento y movimiento lateral, el atacante comenzó a duplicar los esfuerzos de extorsión aprovechando las cuentas para las que cambió las credenciales, ejecutando WinRAR para recopilar archivos en múltiples entornos de clientes.
Exfiltración
Una vez que los atacantes recopilaron datos utilizando WinRAR, exfiltraron los archivos .rar a easyupload.io a través de una pestaña de incógnito en Google Chrome.
Evasión de la defensa e impacto
A lo largo del incidente, los atacantes utilizaron diversas técnicas de evasión de la defensa para borrar sus huellas. Al acceder a EasyUpload a través de Google Chrome, utilizaron el modo de incógnito para ocultar datos forenses. También eliminaron herramientas tras la ejecución, como WinRAR.
Mediante la instancia maliciosa de ScreenConnect, el atacante se aseguró de identificar y atacar las copias de seguridad en múltiples ubicaciones de clientes para evitar la restauración de los servicios y garantizar mejor el cumplimiento de sus demandas de rescate. Además, modificaron varias opciones de arranque para asegurarse de que los dispositivos atacados arrancaran en modo seguro con conexión a la red.
Por último, aprovecharon las cuentas comprometidas para desplegar el ransomware Qilin en múltiples entornos de clientes.
SophosLabs analizó el archivo binario del ransomware recuperado por el equipo de MDR. Contenía la siguiente funcionalidad:
-
Detener y desactivar el servicio de instantáneas de volumen (VSS)
-
Habilitar enlaces simbólicos
-
Enumerar hosts
-
Eliminar instantáneas
-
Eliminar registros de eventos de Windows
-
Establecer el fondo de pantalla como mensaje de ransomware
-
Eliminarse a sí mismo después de la ejecución
Aunque varios entornos de clientes se vieron afectados por el mismo binario de ransomware, cada cliente tenía su propia contraseña única de 32 caracteres asociada a la ejecución del binario de ransomware.
Observa los diferentes finales de las contraseñas redactadas en la captura de pantalla siguiente:
Además, los archivos Léame que dejaba el ransomware tenían identificadores de chat únicos para cada cliente, lo que indica que el autor de la amenaza sabía que estaban atacando a diferentes organizaciones y clientes.
Recomendaciones para los defensores
Los MSP dependen en gran medida de software y servicios externos para llevar a cabo sus tareas operativas para las organizaciones de sus clientes. Los operadores de ransomware se dirigen a estos servicios por la misma razón: se han convertido en un vector cada vez más común para los ataques posteriores a los clientes de los MSP. Por lo tanto, es importante que los MSP y las organizaciones de todos los tamaños que utilizan estos servicios comprendan los factores de riesgo asociados a ellos y tomen medidas para mitigarlos.
Los atacantes con credenciales administrativas válidas y acceso son difíciles de detener, especialmente cuando se trata de la exfiltración de datos. Pero hay medidas que las organizaciones pueden tomar para prevenir el compromiso inicial de credenciales clave y para impedir la ejecución de ransomware.
El acceso inicial en este caso se obtuvo a través de phishing dirigido e interceptación de un TOTP MFA. Los atacantes utilizaron un dominio similar y un correo electrónico bien elaborado para conseguir que el objetivo hiciera clic en el enlace. Los defensores deben incorporar evaluaciones en la formación de la organización sobre phishing para ayudar a los usuarios a detectar dominios similares y otros dominios sospechosos. Además, asegúrate de que tu solución de correo electrónico marque o bloquee los mensajes entrantes que no superen una comprobación de autenticación, notificación y conformidad de mensajes basados en dominios (DMARC).
En este caso, el ataque de phishing utilizó un kit de phishing AITM para transmitir credenciales y un TOTP para obtener una sesión válida. Cuando sea posible, las organizaciones deben limitar el acceso a las aplicaciones corporativas y a los servicios de terceros a dispositivos gestionados conocidos mediante acceso condicional, y migrar a servicios de autenticación resistentes al phishing (como los basados en FIDO 2).
En este ataque, el actor configuró los sistemas para que se reiniciaran en modo seguro y así eludir las protecciones de seguridad de los endpoints. Las organizaciones deben implementar protección contra los reinicios de arranque seguro sin protección de endpoints. Los clientes de Sophos pueden hacerlo habilitando las mejoras de ataque activo en Sophos Central a través de las políticas de protección contra amenazas de endpoints y servidores.
Los indicadores de peligro para STAC4365 y Qilin se proporcionan en la página de GitHub de Sophos aquí.