El nuevo grupo de ransomware Atom Silo apunta a servidores Confluence



Los investigadores de seguridad están rastreando un nuevo grupo de ransomware llamado Atom Silo, que utiliza una vulnerabilidad recientemente revelada en el application de colaboración Confluence de Atlassian (CVE-2021-26084) así como nuevas tácticas que dificultan la investigación.

El equipo de respuesta rápida MTR de Sophos investigó recientemente un ataque de Atom Silo y hoy compartió sus hallazgos para revelar más sobre las herramientas y técnicas del grupo. La intrusión que investigó comenzó el 13 de septiembre de 2021, 11 días antes del ataque de ransomware. Los atacantes, ya sea el propio grupo Atom Silo, un afiliado o un agente de acceso inicial, violaron un servidor Confluence mediante un ataque de inyección de lenguaje de navegación de gráficos de objetos.

Este ataque al servidor les dio a los atacantes una puerta trasera que luego pudieron usar para soltar y ejecutar archivos para otra puerta trasera sigilosa, escriben los investigadores en una publicación de blog site. La carga útil de la segunda puerta trasera contenía tres archivos, uno de los cuales era un ejecutable legítimo firmado de un proveedor de software program externo que period vulnerable a un ataque de carga lateral DLL sin firmar.

«La DLL maliciosa falsifica una biblioteca requerida por el ejecutable y se coloca en la misma carpeta en el servidor de destino que el .exe vulnerable. Esta técnica de ataque, conocida como secuestro de orden de búsqueda de DLL (ATT y CK T1574.001), es una técnica muy usada recientemente observada en los ataques de ransomware LockFile que aprovechan la vulnerabilidad ProxyShell «, explican los investigadores en su publicación.

Señalan que, si bien el ransomware en sí es «prácticamente idéntico a LockFile», la intrusión que hizo posible este ataque empleó muchas técnicas nuevas que dificultaron la investigación, como la descarga de bibliotecas de enlaces dinámicos maliciosos para interrumpir las herramientas de seguridad de los terminales.

Este ataque muestra cuán peligrosas pueden ser las fallas de seguridad reveladas públicamente en el program orientado a Online cuando no se reparan. Junto con este ataque de ransomware, el equipo de Sophos descubrió que la falla de Confluence también había sido explotada por un criptominer, a través de otro atacante.

Leer más detalles sobre el grupo y su ataque. aquí.



Enlace a la noticia initial