Compra una empresa y te llevas un troyano: VPN antiguas convierten fusiones y adquisiciones en ciberataques

Las habituales operaciones de fusiones y adquisiciones se están convirtiendo inesperadamente en una vía de acceso conveniente para extorsionadores: los operadores del ransomware Akira se introducen en las redes de grandes empresas a través de dispositivos SonicWall vulnerables que obtuvieron junto con la empresa adquirida. Así lo advierte la empresa ReliaQuest, que analizó una serie de ataques desde junio hasta octubre.

En todos los incidentes analizados en los que intervinieron dispositivos SSL VPN vulnerables de SonicWall, los atacantes primero comprometieron la infraestructura de la compañía menor y luego, a través de esos mismos dispositivos, accedieron a la red de la empresa matriz tras completar la operación. Los nuevos propietarios con frecuencia ni siquiera sabían que ese equipo existía en su entorno de TI actualizado y, por supuesto, no se apresuraron a corregir las vulnerabilidades antiguas.

Durante el verano, según ReliaQuest, grupos afiliados a Akira explotaron activamente errores de configuración y vulnerabilidades en firewalls y SSL VPN de SonicWall para infiltrarse en redes, robar datos y desplegar el cifrador. SSL VPN de SonicWall se utiliza ampliamente en pequeñas y medianas empresas —y son precisamente ese tipo de compañías las que con más frecuencia son objeto de adquisiciones, lo que hace que la combinación «SonicWall + M&A» resulte especialmente atractiva para los delincuentes.

Además de su participación en las transacciones, todos los episodios de ataques de Akira estudiados compartían tres rasgos característicos: cuentas privilegiadas abandonadas pero aún activas, nombres de host predeterminados o fáciles de predecir y la ausencia de protección completa en los puntos finales. Este conjunto de problemas convertía las redes de las víctimas casi en un «pasillo sin cámaras».

Los investigadores señalan que, inmediatamente después de entrar en la red a través del dispositivo SonicWall comprometido, los atacantes empezaban a buscar cuentas privilegiadas que «se habían trasladado» a la nueva empresa con su compra. Se trataba de cuentas antiguas de administradores, cuentas de antiguos proveedores de servicios gestionados y otros accesos heredados cuya existencia el nuevo propietario podría ignorar por completo. Como resultado, según ReliaQuest, de media lograban llegar al controlador de dominio en apenas 9,3 horas, y en algunos casos en cinco horas o menos.

A continuación venía una fase rápida de reconocimiento: los atacantes escaneaban la red en busca de hosts con nombres predeterminados o predecibles, a partir de los cuales era fácil localizar controladores de dominio, servidores de aplicaciones y otros nodos críticos. Desde el inicio del movimiento lateral hasta el lanzamiento directo del cifrador en estos incidentes transcurría menos de una hora —los defensores disponían de muy poco tiempo para reaccionar.

ReliaQuest subraya además el papel de la protección de puntos finales. En todos los casos, los operadores de Akira buscaban deliberadamente hosts críticos sin soluciones EDR u otras similares activadas. Si no encontraban máquinas así, intentaban desactivar la protección mediante técnicas de suplantación de bibliotecas (DLL sideloading). La ausencia o debilidad de la protección en los puntos finales facilitaba considerablemente la tarea de cifrar los sistemas antes de que alguien detectara el incidente.

Los propios investigadores no revelan cuántos ataques examinaron exactamente, pero la conclusión de ReliaQuest es inequívoca: las empresas que atraviesan fusiones y adquisiciones se convierten en un objetivo especialmente atractivo para los extorsionadores. Y si no se realiza un inventario exhaustivo del equipo heredado, no se cierran las VPN vulnerables, no se desactivan las cuentas heredadas y no se garantiza una protección completa de todos los hosts, la nueva operación puede traer no solo activos, sino también extorsionadores ya instalados en la red.