Cadena de ataque que roba datos del protocolo de autenticación NTLM
- Actualidad
Los hashes NTLM robados se explotarían para descifrar contraseñas o facilitar ataques aprovechando otras vulnerabilidades dentro de la organización objetivo, y moverse después lateralmente dentro del entorno afectado.
Observaciones realizadas por Proofpoint revelan la existencia de una nueva cadena de ataque de los ciberdelincuentes TA577 con el objetivo poco común de robar hashes del protocolo de autenticación NT LAN Manager (NTLM) en entornos de red Windows para recopilar información confidencial en texto claro (nombres de ordenador, de dominio y de usuario), así como permitir acciones maliciosas posteriores.
Al menos, hubo dos campañas con decenas de miles de mensajes dirigidos a organizaciones de todo el mundo que aparecían como respuesta a correos electrónicos ya existentes, lo que se conoce como secuestro de hilos, conteniendo además archivos adjuntos HTML comprimidos y personalizados para cada destinatario. Una vez abiertos, se desencadenaba un intento de conexión del sistema a un Server Message Block (SMB) externo propiedad del atacante.
Los hashes NTLM robados se explotarían para descifrar contraseñas o facilitar ataques aprovechando otras vulnerabilidades dentro de la organización objetivo y moverse después lateralmente dentro del entorno afectado. Existen asimismo indicios que apuntan al uso del kit de herramientas de código abierto para realizar estos ataques.
Cabe señalar que TA577 entregaba el HTML en un archivo zip para generar un archivo local en el host, porque si estuviese directamente en el cuerpo del correo electrónico, el ataque no funcionaría en usuarios de correo Outlook parcheados a partir de julio de 2023. Además, deshabilitar el acceso de invitados a SMB no mitigaba el ataque, ya que el archivo debía autenticarse en el SMB externo para determinar si debía utilizar el acceso de invitados.
Según Proofpoint, TA577 es un destacado grupo de ciberdelincuencia y uno de los principales afiliados del troyano Qbot antes de la interrupción de la botnet. Se le considera un intermediario de acceso inicial (IAB) y sus campañas estarían relacionadas con infecciones de ransomware de seguimiento, como Black Basta, o el uso de Pikabot como carga útil inicial.
“Nunca se había observado esta cadena de ataque de TA577 para robar credenciales NTLM, pero el ritmo con el que adopta nuevas tácticas, técnicas y procedimientos sugiere que esta amenaza probablemente disponía de suficiente tiempo, recursos y experiencia para repetir y probar nuevos métodos de distribución”, comentan los investigadores de amenazas de Proofpoint. “Parece tener el pulso del panorama de amenazas, sabiendo cuándo y por qué una cadena de ataque deja de ser eficaz para crear rápidamente nuevos métodos con los que eludir detecciones, aumentar su eficacia y la probabilidad de compromiso de la víctima”.
Desde la compañía de ciberseguridad Proofpoint se ha observado un aumento en el número de ciberdelincuentes que dirigen a sus víctimas a recursos compartidos de archivos externos, como SMB y WebDAV, para acceder a contenido remoto y entregar malware, por lo que aconseja a las organizaciones a bloquear las SMB salientes con el fin de evitar explotaciones.