Una investigación de The DFIR Report reveló que los operadores del ransomware LockBit llevaron a cabo un ataque altamente coordinado aprovechando la vulnerabilidad crítica CVE-2023-22527 (CVSSv3 10.0 según fabricante) en servidores Atlassian Confluence expuestos, permitiéndoles ejecutar comandos remotos sin autenticación mediante inyecciones maliciosas de Object-Graph Navigation Language (OGNL).
Según el reporte, tras obtener acceso inicial los actores de amenazas realizaron un reconocimiento del sistema, desplegaron AnyDesk para persistencia y usaron Metasploit para establecer canales de comando y control (C2). Además, escalaron privilegios, desactivaron defensas de seguridad y se movieron lateralmente a través de la red mediante RDP, apuntando a servidores críticos.
Asimismo, extrajeron credenciales con Mimikatz, utilizaron Rclone para exfiltrar datos a MEGA.io y cubrieron sus huellas eliminando registros. Finalmente, desplegaron el ransomware LockBit mediante PDQ Deploy, logrando cifrar archivos en toda la red en poco más de dos horas, demostrando una velocidad y precisión excepcionales.
