Un importante ciberataque interrumpió la red del gobierno estatal de Nevada el 24 de agosto, lo que obligó a todas las sucursales de las oficinas estatales a cerrar sus operaciones durante 48 horas.
La intrusión comenzó con la explotación de una puerta de enlace VPN sin parches, lo que permitió al actor de la amenaza ganar un punto de apoyo inicial en la red interna.
En cuestión de horas, los atacantes implementaron una carga útil de malware personalizada diseñada para escalar privilegios, moverse lateralmente a través de servidores críticos y filtrar datos confidenciales.
Este evento marca una de las interrupciones más graves de los servicios de TI estatales en la historia reciente, afectando el correo electrónico, el acceso a registros públicos y los canales de comunicación interna.
Los analistas de la Oficina de Prensa del Gobernador Lombardo notaron que el malware aprovechó un vector de ataque de múltiples etapas: un dropper liviano escrito en PowerShell, que a su vez recuperaba un binario de segunda etapa de un servidor web comprometido.
Este binario contenía archivos de configuración cifrados, lo que indicaba la intención de los atacantes de pasar desapercibidos mientras mapeaban la topología de la red.
Mientras los técnicos estatales trabajaban para aislar los puntos finales infectados, los servicios normales de autenticación de usuarios fueron redirigidos a copias de seguridad fuera de línea, lo que complicó aún más el proceso de recuperación.
El análisis forense inicial reveló que el script del dropper utilizaba el siguiente patrón para establecer la persistencia al reiniciar: –
$TaskAction = New-ScheduledTaskAction -Execute ‘powershell.exe’ -Argument ‘-NoProfile -WindowStyle Hidden -File C:\Windows\Temp\svc_update.ps1’
$Trigger = New-ScheduledTaskTrigger -AtStartup
Register-ScheduledTask -TaskName ‘WindowsUpdateSvc’ -Action $TaskAction -Trigger $Trigger -Description ‘System Update Service’
Esta técnica permitió que el malware se reiniciara silenciosamente, incluso después de que se aplicaran parches en los terminales.
Los investigadores de la Oficina de Prensa del Gobernador Lombardo identificaron las similitudes del código del gotero con conocidos kits de herramientas APT, lo que sugiere que los perpetradores poseen capacidades avanzadas y amplios datos de reconocimiento sobre la infraestructura estatal.
Mecanismo de infección
Profundizando en el mecanismo de infección, el binario de segunda etapa emplea un protocolo de comunicaciones personalizado a través de HTTPS, enmascarando su tráfico como llamadas API REST benignas para evadir los sistemas de detección de intrusiones.
Tras la ejecución, el binario carga una DLL en el proceso host del Instrumental de administración de Windows (WMI) (wmiprvse.exe), ocultando efectivamente sus operaciones dentro de procesos legítimos del sistema.
La DLL descifra cargas útiles integradas en la memoria, implementando módulos que buscan controladores de dominio y recursos compartidos de archivos.
Una vez que se identifican los objetivos, los archivos cifrados de archivos críticos se preparan para su filtración mediante cargas fragmentadas a un servidor C2 remoto.
El malware pasa de la ejecución inicial del código a la filtración de datos sin activar las alarmas de seguridad de red estándar.
