Los grupos de ransomware han intensificado el uso de herramientas de administración y monitoreo remoto (RMM), originalmente diseñadas para operaciones de TI, con el fin de ejecutar intrusiones de red sofisticadas. Esto incluye lograr persistencia, movimiento lateral y exfiltración de datos, según investigaciones recientes.
Un patrón alarmante, observado en la segunda mitad de 2024 y el primer trimestre de 2025, impactó a dos organizaciones en EE. UU. y una en el Reino Unido. Las herramientas RMM, confiables en entornos empresariales para tareas como la implementación de software y el monitoreo de sistemas, eluden los controles de seguridad tradicionales debido a su naturaleza legítima. Esto difumina la línea entre las acciones administrativas autorizadas y el comportamiento malicioso encubierto.
Análisis de la Amenaza
Investigadores de Cato Networks, en su Informe de Amenazas CTRL 2025, analizaron diversas soluciones RMM comerciales y de código abierto, como AnyDesk, ScreenConnect, SimpleHelp y PDQ Deploy. Estas herramientas fueron explotadas por grupos como Hunters International y Medusa. Esta capacidad de doble uso es similar a la de los troyanos de acceso remoto (RAT), permitiendo la ejecución remota, la implementación de scripts, el acceso sigiloso a través de sesiones ocultas y conexiones cifradas de igual a igual, lo que complica la detección y la atribución.
Incidentes en el Mundo Real
Análisis forenses detallados revelaron tácticas recurrentes en estas campañas. En el tercer trimestre de 2024, Hunters International atacó a una empresa manufacturera del Reino Unido, utilizando AnyDesk y ScreenConnect para mantener acceso persistente durante un mes, facilitando una posible exfiltración masiva de datos antes de la implementación del ransomware. El reciente cierre de esta banda y la entrega de descifradores gratuitos resaltan la naturaleza volátil de estas operaciones.
De manera similar, en el cuarto trimestre de 2024, Medusa se infiltró en una empresa de construcción estadounidense mediante un instalador malicioso de ScreenConnect, aprovechando PDQ Deploy para el escaneo interno y el movimiento lateral. Esto generó dudas sobre si las herramientas ya estaban presentes o fueron introducidas por el atacante.
Un ataque en el primer trimestre de 2025 a una organización sin fines de lucro en EE. UU. involucró a un grupo de ransomware desconocido que desplegó SimpleHelp para una persistencia inicial, seguido de AnyDesk en hosts adicionales para expandir el control de la red. En estos casos, los atacantes utilizaron múltiples herramientas RMM simultáneamente para mejorar la resiliencia, explotando características como el acceso sin agentes, la fijación de certificados y privilegios elevados que evaden los sistemas de detección y respuesta de endpoints (EDR).
El análisis del comportamiento de la red, incluyendo capturas de Wireshark de sesiones de AnyDesk en el puerto 7070 y detecciones de anomalías en Cato XDR, demostró cómo estas herramientas generan conexiones sospechosas vinculadas a WAN, activando alertas automáticas para interacciones de host a host o uso por primera vez.
Prueba de Concepto y Mitigación
Para ilustrar la facilidad de explotación, una prueba de concepto simuló un archivo LNK entregado por phishing que iniciaba PowerShell para activar un AnyDesk preinstalado. Esto establecía una conexión con el endpoint de un atacante, permitiendo la persistencia. Los mecanismos de detección de Cato señalaron las señales anómalas de la red, generando historias XDR para una respuesta rápida.
Esta tendencia, respaldada por la inteligencia de amenazas de los avisos #StopRansomware de CISA, se extiende más allá del ransomware, llegando a actores de estados-nación que buscan alternativas RAT de bajo costo.
Recomendaciones de Seguridad
La mitigación requiere una mayor visibilidad de la red y controles operativos rigurosos. Las organizaciones deben:
- Rastrear los patrones de uso de RMM.
- Hacer cumplir una lista de herramientas RMM aprobadas.
- Aplicar principios de privilegios mínimos.
- Proteger las consolas RMM con autenticación multifactor (MFA).
- Monitorear anomalías de comportamiento, como tráfico inusual en puertos no estándar.
- Realizar auditorías periódicas de las configuraciones.
Al combinar estas medidas con un análisis contextual, las empresas pueden diferenciar la actividad legítima de TI de las amenazas, preservando los beneficios de las herramientas RMM mientras se contrarresta su militarización.
