Detectar Infecciones de Ransomware Atom Silo

[post-views]
octubre 13, 2021 · 5 min de lectura
Detectar Infecciones de Ransomware Atom Silo

Los actores de ransomware intentan mantenerse a la vanguardia de las tendencias maliciosas en su lucha por mayores ganancias. Recientemente, los investigadores de seguridad detectaron un nuevo actor de amenaza que aprovecha una vulnerabilidad crítica en Atlassian Confluence (CVE-2021-26084) para proceder con infecciones de ransomware. Apodado Atom Silo, la banda se basa en CVE-2021-26084 junto con varias técnicas de evasión novedosas para pasar desapercibido y tener éxito en los ataques de extorsión.

Ransomware Atom Silo

Según la investigación detallada de Sophos Labs, Atom Silo tiene mucho en común con cepas de ransomware prolíficas como LockFile y LockBit. Similar a LockFile que aprovechó PetitPotam and ProxyShell fallas en los productos de Microsoft a principios de este año, Atom Silo se basó en una vulnerabilidad crítica en Atlassian Confluence Server y Data Center (CVE-2021-26084) para la infección.

El ransomware aprovechó el CVE-2021-26084 y actualizó la cadena de ataque solo tres semanas después del descubrimiento del error, aumentando sus posibilidades de intrusiones exitosas. Para añadir notoriedad al ataque, los mantenedores de Atom Silo también adoptaron varias técnicas innovadoras para evadir la detección.

Tras la intrusión inicial, los actores de ransomware aprovecharon el error de Confluence Server (CVE-2021-26084) para crear una puerta trasera. Esta puerta trasera inicial se usó para lanzar e iniciar una puerta trasera de segunda etapa más sigilosa a través de la carga lateral de DLL. La segunda puerta trasera ayudó a los hackers a realizar la ejecución remota de comandos de shell de Windows a través de la Interfaz de Gestión de Windows (WMI) y moverse lateralmente por la red infectada.

Lo descrito anteriormente no es el único truco aplicado por el grupo Atom Silo en su intento de evadir la detección. El colectivo de hackers también equipó la carga útil de ransomware con un controlador de kernel malicioso capaz de interrumpir las protecciones del endpoint.

Vulnerabilidad de Confluence (CVE-2021-26084) Bajo Ataque

El 25 de agosto de 2021, Atlassian publicĂł un aviso de seguridad urgente para corregir una vulnerabilidad crĂ­tica de ejecuciĂłn remota de cĂłdigo (RCE) que afecta a su Confluence Server y Data Center. Al ser un problema de inyecciĂłn OGNL, la falla permite a los actores autenticados (y en algunos casos no autenticados) ejecutar cĂłdigo arbitrario en instancias expuestas.

Una semana después de que se emitiera el aviso, los investigadores de seguridad publicaron un exploit de prueba de concepto (PoC) en PHP para este error acompañado de un análisis técnico detallado. El PoC desencadenó una avalancha de escaneos para los servidores de Confluence expuestos y las instancias de Data Center, con múltiples adversarios utilizando CVE-2021-26084 para instalar mineros de criptomonedas. Además, varias semanas después del descubrimiento del error, las bandas de Atom Silo militarizaron la vulnerabilidad para atacar a sus víctimas.

El Comando Cibernético de EE. UU. (USCYBERCOM) emitió urgentemente una alerta para instar a las empresas de EE.UU. a abordar la vulnerabilidad crítica de Atlassian Confluence bajo explotación masiva. CISA también enfatizó la importancia de parchear las instancias expuestas lo antes posible.

DetecciĂłn de Atom Silo

Para detectar infecciones de Atom Silo que dependen del error RCE de Atlassian Confluence, puede descargar un conjunto de reglas Sigma gratuitas lanzadas por nuestro desarrollador entusiasta de Bounty de Amenazas Sittikorn Sangrattanapitak. Además, puede consultar nuestras directrices del sector para obtener más información sobre las mejores prácticas para defenderse contra la cepa de ransomware.

Ransomware Atom Silo Utiliza Vulnerabilidad OGNL de Confluence CVE-2021-26084 (vĂ­a proxy)

La regla tiene traducciones para las siguientes plataformas de ANALĂŤTICA DE SEGURIDAD SIEM: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.

La regla está mapeada a la metodología MITRE ATT&CK abordando las tácticas de Impacto, Persistencia, Escalada de Privilegios y Evasión de Defensa. En particular, la detección aborda las técnicas de Cifrado de Datos para Impacto (t1486) y Explotación de Aplicación con Exposición Pública (t1190) así como la sub-técnica de Carga Lateral de DLL (T1574.002) de la técnica de Secuestro de Flujo de Ejecución (t1574).

Ransomware Atom Silo Utiliza RCE de Confluence y Carga Lateral de DLL (vĂ­a file_event)

La regla tiene traducciones para las siguientes plataformas de ANALĂŤTICA DE SEGURIDAD SIEM: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, SentinelOne, Qualis.

La regla está mapeada a la metodología MITRE ATT&CK abordando las tácticas de Impacto, Persistencia, Escalada de Privilegios y Evasión de Defensa. En particular, la detección aborda la técnica de Cifrado de Datos para Impacto (t1486) así como la sub-técnica de Carga Lateral de DLL (T1574.002) de la técnica de Secuestro de Flujo de Ejecución (t1574).

Para detectar y mitigar la actividad maliciosa asociada con la vulnerabilidad CVE-2021-26084 en el Atlassian Confluence Server y Data Center, consulte la lista de detecciones ya disponible en la plataforma SOC Prime.

Regístrese en la plataforma SOC Prime para hacer la detección de amenazas más fácil, rápida y sencilla. Cace instantáneamente las últimas amenazas dentro de 20+ tecnologías SIEM & XDR compatibles, automatice la investigación de amenazas y obtenga retroalimentación y validación de una comunidad de más de 20,000 profesionales de seguridad para impulsar sus operaciones de seguridad. ¿Ansioso por crear su propio contenido de detección? Únase a nuestro programa de Bounty de Amenazas, comparta sus reglas Sigma y Yara en el repositorio del Mercado de Detección de Amenazas y obtenga recompensas recurrentes por su contribución individual.

Ir a la Plataforma Unirse a Bounty de Amenazas

Tabla de Contenidos

ÂżFue Ăştil este artĂ­culo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Ăšnase Gratis Reserve una ReuniĂłn

Publicaciones relacionadas

DetecciĂłn de CVE-2025-8088: El DĂ­a Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom 5 min de lectura Ăšltimas Amenazas DetecciĂłn de CVE-2025-8088: El DĂ­a Cero de WinRAR es Activamente Explotado en la Naturaleza para Instalar Malware RomCom by Daryna Olyniychuk DetecciĂłn de Interlock Ransomware: Alerta Conjunta del FBI y CISA sobre Ataques Masivos con la TĂ©cnica de IngenierĂ­a Social ClickFix 4 min de lectura Ăšltimas Amenazas DetecciĂłn de Interlock Ransomware: Alerta Conjunta del FBI y CISA sobre Ataques Masivos con la TĂ©cnica de IngenierĂ­a Social ClickFix by Veronika Telychko CVE-2025-6558: Vulnerabilidad Zero-Day en Google Chrome Bajo ExplotaciĂłn Activa 4 min de lectura Ăšltimas Amenazas CVE-2025-6558: Vulnerabilidad Zero-Day en Google Chrome Bajo ExplotaciĂłn Activa by Daryna Olyniychuk
Todas las noticias