El FBI alerta sobre ransomware que aprovecha vulnerabilidades de una herramienta de soporte remoto

El FBI alerta sobre ransomware que aprovecha vulnerabilidades de una herramienta de soporte remoto

El FBI y la Agencia de Seguridad Cibernética y de Infraestructuras (CISA) advirtieron recientemente que el grupo de ransomware ‘Play’ ha estado atacando infraestructuras críticas de Estados Unidos y varias organizaciones utilizando técnicas cada vez más sofisticadas.

En un documento publicado el 04 de junio de 2025, el FBI alertó sobre cómo el grupo de delincuentes estaba aprovechando las vulnerabilidades de una herramienta de software de soporte remoto.

Sin embargo, esta no es la primera alerta sobre ‘Play’ (también conocido como Playcrypt). En mayo de este año ya habían figurado en algunas noticias por explotar una falla de registro de Windows.

El grupo de ransomware fue uno de los más activos en 2024 y ha atacado a una amplia gama de empresas y proveedores de infraestructura en América y Europa, según informaron las agencias (FBI y CISA) en un comunicado conjunto.

Según el FBI, hasta mayo el grupo había atacado a más de 900 organizaciones en varios países desde su lanzamiento en junio de 2022. En ese año fueron los responsables de distintos ataques en países de Latinoamérica.

El aviso del FBI actualiza la advertencia original de diciembre de 2023 sobre el grupo de ransomware Play. Este grupo de hackers ya había sido acusado de ataques contra organizaciones como ConnectWise ScreenConnect y Rackspace.

Vulnerabilidades en una herramienta de soporte remoto

Desde mediados de enero, varios grupos de ransomware, incluidos los intermediarios de acceso inicial afiliados a Play, han aprovechado las vulnerabilidades de una herramienta de soporte remoto llamada SimpleHelp.

Los recientes ataques que explotan SimpleHelp implican tres fallos descubiertos por la empresa de seguridad Horizon3.ai. Los investigadores revelaron los problemas de seguridad en enero de este año.

El fallo más notable, CVE-2024-57727, es una vulnerabilidad de recorrido de ruta que permite a un atacante no autenticado descargar archivos arbitrarios del servidor SimpleHelp.

Imagen de SOCRadar

SimpleHelp lanzó actualizaciones de seguridad para abordar las tres vulnerabilidades e instó a los clientes a aplicar las correcciones de inmediato para evitar nuevos ataques del grupo de ransomware.

En mayo pasado investigadores de Sophos revelaron un incidente en el que un agente malicioso obtuvo acceso a la herramienta SimpleHelp y desplegó el ransomware DragonForce, aunque los investigadores no ven ninguna relación directa entre DragonForce y Play.

¿Por qué ‘Play’ se enfoca en herramientas de soporte remoto?

Buscar vulnerabilidades en un software de soporte remoto y monitoreo es una de las actividades que los delincuentes realizan para tener control de los equipos y acceder a toda la información corporativa.

Al hallar brechas de seguridad en esta clase de software, los hackers obtienen:

  • Acceso a todos los equipos de la organización: pueden ingresar de manera remota a todos los dispositivos de escritorio, portátiles o móviles que se encuentren enrolados en la herramienta.

  • Datos de los activos: tienen la posibilidad de saber cuántos dispositivos hay, de que marcas, de qué modelos, cuántos han tenido sesiones de mantenimiento e incluso descubrir si se encuentran al día con el firmware.

  • Control de las actualizaciones: cuentan con el detalle de cuántos equipos se encuentran con las actualizaciones al día y cuáles no, e incluso podrían bloquear la instalación de actualizaciones para aprovechar otras vulnerabilidades en programas de software o sistemas operativos.

  • Información personal: acceden a datos personales de los trabajadores. Muchos podrían realizar tareas personales (compras, pagos, transacciones bancarias) en un dispositivo corporativo.

  • Suplantar usuarios: con el control de los equipos pueden ingresar a una cuenta privilegiada y enviar mensajes con información falsa: pagos prioritarios a nuevos proveedores, transacciones urgentes, supuestos pagos de impuestos, etc.

Endpoint Central: la opción más segura y completa

Endpoint Central, la solución para gestión unificada de endpoints (UEM) de ManageEngine es mucho más que un módulo de administración remota de dispositivos. Si bien cuenta con esta función, también ofrece funciones avanzadas de seguridad que garantizan protección contra toda clase de vulnerabilidades.

Entre las principales características de Endpoint Central se destacan aspectos como gestión de vulnerabilidades, seguridad de navegadores, control de aplicaciones, protección contra ransomware, prevención de pérdida de datos (DLP) y la gestión de BitLocker.

También proporciona gestión y generación de informes, lo que permite a los administradores de TI monitorear y controlar la seguridad de los endpoints desde una único dashboard en el que se puede acceder a todos sus módulos. Aquí algunas de sus principales características:

  • Gestión centralizada: Cuenta con un único dashboard para gestionar todos los dispositivos, incluidos computadores de escritorio, portátiles, servidores y dispositivos móviles. Este enfoque centralizado simplifica la implementación y la aplicación de las políticas de seguridad.

  • Gestión de dispositivos móviles (MDM): permite gestionar dispositivos móviles, aplicar políticas de seguridad en los mismos y proteger los datos corporativos con controles de aplicaciones, contenidos, perfiles, localización y geofencing.

  • Gestión de vulnerabilidades: Endpoint Central ofrece análisis de vulnerabilidades y parches para abordar de forma proactiva las debilidades de los dispositivos. Ataques de día cero, actualizaciones pendientes y software legacy: todo monitoreado desde el módulo de Vulnerability Manager.

  • Funciones de seguridad completas: Endpoint Central incluye una amplia gama de herramientas de seguridad para proteger los endpoints de diversas amenazas, como malware, ransomware y vulnerabilidades de día cero.

  • Seguridad del navegador: Proporciona funciones de seguridad del navegador para proteger contra amenazas basadas en la web, incluyendo el seguimiento de plugins, complementos y extensiones, y la restricción del acceso a sitios web no autorizados. ¡Los navegadores también son endpoints!

  • Control de aplicaciones: Endpoint Central permite controlar las aplicaciones que se instalan en los dispositivos mediante listas blancas, negras o grises. Permite a las organizaciones bloquear las aplicaciones de alto riesgo y permitir solo las de confianza, reduciendo así la superficie de ataque.

  • Anti-ransomware: Cuenta con un módulo anti-ransomware que incluye funciones para detectar, prevenir e incluso remediar ataques de ransomware, incluyendo análisis de comportamiento e inteligencia de amenazas en tiempo real.

  • Prevención de pérdida de datos (DLP): Ofrece capacidades de prevención de pérdida de datos para proteger la información confidencial evitando la filtración de información mediante transferencias de archivos o el uso de dispositivos periféricos.

  • Gestión de BitLocker: Permite gestionar el cifrado de BitLocker en los dispositivos, lo que garantiza la protección de los datos en caso de pérdida o robo.

  • Informes y auditorías: La plataforma proporciona informes detallados sobre el estado de seguridad de los endpoints y las medidas de remediación ejecutadas, lo que permite cumplir con las normativas de seguridad y algunos estándares específicos (PCI DSS, CIS Controls,)

No tome riesgos. La mejor opción está a su alcance

Conozca más sobre Endpoint Central y empiece su camino hacia una gestión de TI más segura y adaptable. Puede descargar una prueba gratuita totalmente funcional de 30 días, solicitar una demo online o encontrar más detalles sobre el funcionamiento de esta solución.