Ransomware de rápida evolución y amenazas de espionaje basado en enrutadores se dirigen a organizaciones educativas y de pequeñas oficinas
Un informe reciente de Microsoft advierte sobre dos amenazas activas a la ciberseguridad: una campaña de ransomware de rápido movimiento y una operación de espionaje rusa que abusa de los enrutadores de pequeñas oficinas y oficinas domésticas para monitorear el tráfico de red de las víctimas.
La compañía dijo esta semana que el grupo de amenazas Storm-1175 está explotando vulnerabilidades reveladas recientemente para implementar el ransomware Medusa a una velocidad inusual, y algunas víctimas vieron el cifrado dentro de las 24 horas posteriores al compromiso inicial. En una campaña separada, Microsoft dijo que el grupo ruso Forest Blizzard, vinculado a la inteligencia militar, ha comprometido miles de enrutadores de pequeñas oficinas y oficinas domésticas para llevar a cabo ataques de adversario en el medio y recopilar tráfico confidencial de usuarios específicos.
Ransomware a velocidad vertiginosa
Storm-1175 ha explotado más de 16 vulnerabilidades desde 2023, dirigidas a todo, desde servidores Microsoft Exchange hasta aplicaciones de transferencia de archivos como GoAnywhere MFT y CrushFTP.
«Tras una explotación exitosa, Storm-1175 pasa rápidamente del acceso inicial a la exfiltración de datos y la implementación del ransomware Medusa, a menudo en unos pocos días y, en algunos casos, en 24 horas», advirtió Microsoft Threat Intelligence en una publicación de blog del 6 de abril.
Los objetivos principales del grupo de hackers incluyen organizaciones de atención médica, instituciones educativas, empresas de servicios profesionales y entidades del sector financiero en los Estados Unidos, Australia y el Reino Unido. En algunos casos, Storm-1175 utilizó como arma las vulnerabilidades de día cero una semana antes de su divulgación pública.
La cadena de ataque sigue un patrón predecible: explotar sistemas vulnerables conectados a la web, establecer persistencia a través de nuevas cuentas administrativas, implementar herramientas de administración y monitoreo remoto para el movimiento lateral, volcar credenciales, manipular software de seguridad y, finalmente, liberar ransomware en toda la red utilizando herramientas de implementación legítimas como PDQ Deployer.
El análisis de Microsoft reveló la dependencia de Storm-1175 de todo, desde herramientas básicas como Mimikatz para el robo de credenciales hasta plataformas RMM legítimas, incluidas Atera, Level, N-able y ConnectWise ScreenConnect. El grupo también emplea Rclone para filtrar datos antes del cifrado, lo que permite tácticas de doble extorsión a través del sitio de filtración de Medusa.
El compromiso del enrutador permite una vigilancia silenciosa
La campaña de Forest Blizzard presenta una amenaza diferente pero igualmente preocupante. Desde al menos agosto de 2025, el grupo ruso vinculado al ejército ha estado comprometiendo enrutadores inseguros de hogares y pequeñas oficinas, modificando su configuración de DNS para redirigir el tráfico a través de una infraestructura controlada por atacantes.
«Al comprometer los dispositivos de borde que están aguas arriba de objetivos más grandes, los actores de amenazas pueden aprovechar activos menos monitoreados o administrados para pivotar hacia entornos empresariales», explicó Microsoft en su publicación del 7 de abril.
La campaña ha afectado a más de 200 organizaciones y 5.000 dispositivos de consumo, según Microsoft Threat Intelligence, que también identificó ataques de seguimiento del adversario en el medio dirigidos a conexiones de Transport Layer Security a Microsoft Outlook en los dominios web. Microsoft dijo que la actividad ha afectado a organizaciones gubernamentales, de TI, de telecomunicaciones y de energía.