El FBI alerta sobre ransomware que explota
fallas en softwares de soporte remoto

Cómo los cibercriminales del grupo ‘Play’ explotan fallos en herramientas de soporte remoto, y por qué soluciones como Endpoint Central pueden marcar la diferencia.

 

Las noticias lo confirman: el FBI alerta sobre ransomware que aprovecha vulnerabilidades críticas en herramientas de soporte remoto para atacar empresas e infraestructuras clave. El grupo ‘Play’, detrás de más de 900 ataques en todo el mundo, busca brechas que permitan tomar control de dispositivos, filtrar datos y hasta suplantar identidades. Ante un panorama cada vez más complejo, soluciones de gestión unificada de endpoints como Endpoint Central no solo permiten administrar remotamente los equipos, sino también detectar y bloquear amenazas antes de que causen daño real.

 

Vulnerabilidades en una herramienta de soporte remoto

 

Desde mediados de enero, varios grupos de ransomware, incluidos los intermediarios de acceso inicial afiliados a Play, han aprovechado las vulnerabilidades de una herramienta de soporte remoto llamada SimpleHelp.

Los recientes ataques que explotan SimpleHelp implican tres fallos descubiertos por la empresa de seguridad Horizon3.ai. Los investigadores revelaron los problemas de seguridad en enero de este año.

El fallo más notable, CVE-2024-57727, es una vulnerabilidad de recorrido de ruta que permite a un atacante no autenticado descargar archivos arbitrarios del servidor SimpleHelp.

SimpleHelp lanzó actualizaciones de seguridad para abordar las tres vulnerabilidades e instó a los clientes a aplicar las correcciones de inmediato para evitar nuevos ataques del grupo de ransomware.

En mayo pasado investigadores de Sophos revelaron un incidente en el que un agente malicioso obtuvo acceso a la herramienta SimpleHelp y desplegó el ransomware DragonForce, aunque los investigadores no ven ninguna relación directa entre DragonForce y Play.

 

¿Por qué ‘Play’ se enfoca en herramientas de soporte remoto?

 

Buscar vulnerabilidades en un software de soporte remoto y monitoreo es una de las actividades que los delincuentes realizan para tener control de los equipos y acceder a toda la información corporativa.

Al hallar brechas de seguridad en esta clase de software, los hackers obtienen:

Acceso a todos los equipos de la organización: pueden ingresar de manera remota a todos los dispositivos de escritorio, portátiles o móviles que se encuentren enrolados en la herramienta.

Datos de los activos: tienen la posibilidad de saber cuántos dispositivos hay, de que marcas, de qué modelos, cuántos han tenido sesiones de mantenimiento e incluso descubrir si se encuentran al día con el firmware.

Control de las actualizaciones: cuentan con el detalle de cuántos equipos se encuentran con las actualizaciones al día y cuáles no, e incluso podrían bloquear la instalación de actualizaciones para aprovechar otras vulnerabilidades en programas de software o sistemas operativos.

Información personal: acceden a datos personales de los trabajadores. Muchos podrían realizar tareas personales (compras, pagos, transacciones bancarias) en un dispositivo corporativo.

Suplantar usuarios: con el control de los equipos pueden ingresar a una cuenta privilegiada y enviar mensajes con información falsa: pagos prioritarios a nuevos proveedores, transacciones urgentes, supuestos pagos de impuestos, etc.

 

Endpoint Central: la opción más segura y completa

 

ndpoint Central, la solución de gestión unificada de endpoints (UEM) de ManageEngine, va mucho más allá de la administración remota. Integra funciones avanzadas de seguridad que protegen contra vulnerabilidades, malware y ransomware, todo desde un único panel centralizado.

Entre sus principales capacidades se destacan:

– Gestión centralizada de desktops, notebooks, servidores y dispositivos móviles desde un solo dashboard.

– MDM para aplicar políticas de seguridad, controlar aplicaciones y proteger datos corporativos.

– Análisis y gestión de vulnerabilidades, con parches proactivos incluso frente a ataques de día cero.

– Protección completa contra amenazas como malware, ransomware y exploits.

– Seguridad del navegador, controlando extensiones y bloqueando sitios no autorizados.

– Control de aplicaciones, permitiendo solo las de confianza para reducir riesgos.

– Módulo anti-ransomware con detección, prevención y remediación basada en comportamiento.

– Prevención de pérdida de datos (DLP) evitando filtraciones mediante dispositivos o archivos.

– Gestión de BitLocker para cifrar datos y protegerlos ante robo o pérdida.

– Informes y auditorías detalladas que ayudan a cumplir normativas como PCI DSS y CIS Controls.

En resumen, Endpoint Central no solo simplifica la administración, sino que fortalece la seguridad integral de todos los dispositivos de la organización.

 

Podés leer el artículo completo en el siguiente enlace:

El FBI alerta sobre ransomware que aprovecha vulnerabilidades de una herramienta de soporte remoto