El grupo Cavalry Werewolf despliega FoalShell y StallionRAT contra objetivos rusos

Investigadores de han descubierto una operación conjunta del grupo Cavalry (alias Werewolf), un actor con características APT, que apunta a redes industriales (OT) e infraestructura crítica. Su táctica distintiva es el esquema de doble ransomware, donde despliegan una versión inicial más ligera, seguida de una versión más potente y destructiva para maximizar el daño operacional.

Estrategia de Doble Ransomware y Penetración en Redes OT

El modus operandi de Cavalry explota la débil segmentación entre las redes administrativas y las redes operacionales, demostrando un conocimiento específico de los entornos industriales.

Proceso de Ataque Escalonado

1. Acceso Inicial y Pivote: El ataque comienza con el compromiso de las redes de TI (oficinas, capa administrativa), que sirven como puente hacia las redes OT. Desde allí, explotan vulnerabilidades, credenciales débiles o accesos remotos mal configurados.
2. Doble Ransomware:
   • Fase 1 (Distracción/Extorsión Inicial): Despliegan un ransomware más ligero o de distracción.
   • Fase 2 (Daño Máximo): Luego, lanzan la versión más agresiva (Werewolf), diseñada para cifrar activos críticos en los entornos industriales.
3. Manipulación de Sistemas OT: Los atacantes demuestran la capacidad de manipular protocolos industriales (SCADA, PLCs) y realizar un potencial sabotaje directo a operaciones físicas, bloqueando sistemas o impidiendo su funcionamiento.

Tácticas Clave

• Conocimiento Industrial: El ataque exige un conocimiento específico de los protocolos y sistemas industriales, lo que implica que el actor está bien entrenado o tiene acceso a herramientas especializadas.
• Impacto Psicológico: La estrategia de doble ransomware no solo es técnica, sino psicológica, obligando a las víctimas a pagar rápidamente ante el riesgo inminente de un daño operacional y físico mayor.
• Ocultamiento: El uso de dos fases de ransomware oculta la carga maliciosa inicial, lo que complica la detección temprana por parte de los equipos de seguridad.

Recomendaciones

1. Segmentación Rigurosa entre TI y OT

• Aislamiento: Aísla completamente las redes OT de cualquier acceso directo desde TI o redes de oficinas, reconociendo que la red TI es el punto de entrada principal.
• Jump Hosts Controlados: Utiliza servidores de salto (jump hosts) o gateways controlados con autenticación fuerte para gestionar cualquier comunicación necesaria entre las dos redes.

2. Principio de Mínimo Privilegio en OT

• Permisos Reducidos: Asegúrate de que los usuarios y sistemas con acceso a los entornos OT operen con permisos estrictamente necesarios y que estos sean auditados continuamente.
• Sin Cuentas Compartidas: Elimina el uso de cuentas compartidas o por defecto en sistemas críticos industriales.

3. Monitoreo Activo y Detección de Anomalías

• Movimiento Lateral: Implementa alertas para el movimiento lateral desde TI hacia OT, buscando tráfico inusual o el uso inesperado de protocolos industriales (SCADA).
• Detección de Manipulación: Monitorea activamente cualquier cambio no autorizado en dispositivos industriales, PLCs y controladores, lo que podría indicar un potencial sabotaje.

4. Preparación y Recuperación

• Backup Desconectado: Mantén respaldos críticos sin conexión (offline) a la red principal para asegurar que el ransomware no pueda alcanzarlos.
• Plan de Recuperación Rápido: Desarrolla y prueba un plan de recuperación sólido enfocado en la restauración rápida de las operaciones físicas en caso de una interrupción.