El grupo de ransomware BlackSuit, identificado también como Ignoble Scorpius, llevó a cabo un ataque devastador contra un fabricante importante, comprometiendo más de 60 hosts VMware ESXi. El incidente comenzó con la obtención de credenciales VPN mediante vishing, seguido de movimientos laterales y extracción masiva de datos, culminando con cifrado automatizado de máquinas virtuales que amenazó con pérdidas millonarias. El ataque destaca la sofisticación creciente de estos actores y la necesidad crítica de defensas en múltiples capas.
Productos afectados
| Fabricante | Producto | Componente |
|---|---|---|
| VMware | VMware ESXi | Hosts virtualizados afectados por ransomware BlackSuit |
| Cisco | Cisco ASA | Firewalls desactualizados reemplazados por modelos de nueva generación |
Solución
Actualizar infraestructuras críticas y fortalecer accesos mediante autenticación multifactor y segmentación en VLANs segregadas.
Recomendaciones
Implementar autenticación multifactor para todos los accesos remotos, deshabilitar NTLM, rotar credenciales regularmente y prohibir cuentas de servicio para sesiones interactivas como RDP; además, reforzar la segmentación de red y monitoreo continuo para detectar movimientos laterales rápidamente.