CISA, la agencia de ciberseguridad y seguridad de las infraestructuras america ha lanzado esta semana un comunicado en el que llama la atención sobre el aumento del uso ilegítimo de las herramientas de gestión y monitorización remota, RMM (remote monitoring and management), que se utilizan para administrar de forma remota las redes y endpoints y que los ciberdelincuentes también pueden usar para eludir las políticas de control de software y los requisitos de autorización en los ordenadores de las víctimas.
El documento, en el que también ha participado la Agencia de Seguridad Nacional, detalla los ataques, ofrece mitigaciones e indicadores de compromiso a tener en cuenta y ofrece detalles sobre una campaña de ciberataques detectada el pasado mes de octubre que implicaba el uso de estas herramientas RMM.
Explica la agencia que los ciberdelincuentes enviaron correos electrónicos de phishing que condujeron a la descarga de software RMM legítimo, ScreenConnect (ahora control ConnectWise) y AnyDesk, que los ciberdelincuentes utilizaron para robar dinero de las cuentas bancarias de las víctimas. Dicen también que, aunque esta campaña parece tener motivaciones financieras, las organizaciones que la crearon estiman que podría dar lugar a tipos adicionales de actividad maliciosa, como vender el acceso a la cuenta de la víctima a otros ciberdelincuentes o actores de amenazas persistentes avanzadas (APT). “El uso de ejecutables portátiles del software RMM proporciona una forma para que los actores establezcan el acceso de usuarios locales sin necesidad de privilegios administrativos ni de una instalación completa del software, eludiendo efectivamente los controles de software comunes y las suposiciones de gestión de riesgos”, dice el documento.
La agencia ha compartido indicadores de compromiso que cualquiera puede usar para buscar evidencia de un ataque exitoso a sus sistemas y ha ofrecido consejos para los defensores de la red sobre cómo minimizar este riesgo en particular.
