{"id":1001540,"date":"2023-10-17T06:49:10","date_gmt":"2023-10-17T06:49:10","guid":{"rendered":"https:\/\/teknomers.com\/es\/informes-cert-ua-11-proveedores-de-telecomunicaciones-ucranianos-afectados-por-ciberataques\/"},"modified":"2023-10-17T06:49:14","modified_gmt":"2023-10-17T06:49:14","slug":"informes-cert-ua-11-proveedores-de-telecomunicaciones-ucranianos-afectados-por-ciberataques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/informes-cert-ua-11-proveedores-de-telecomunicaciones-ucranianos-afectados-por-ciberataques\/","title":{"rendered":"Informes CERT-UA: 11 proveedores de telecomunicaciones ucranianos afectados por ciberataques"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>17 de octubre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Ataque cibern\u00e9tico\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) ha revelado que los actores de amenazas “interfirieron” con al menos 11 proveedores de servicios de telecomunicaciones en el pa\u00eds entre mayo y septiembre de 2023.<\/p>\n

La agencia est\u00e1 rastreando la actividad con el nombre UAC-0165, afirmando que las intrusiones provocaron interrupciones del servicio para los clientes.<\/p>\n

El punto de partida de los ataques es una fase de reconocimiento en la que se escanea la red de una empresa de telecomunicaciones para identificar interfaces RDP o SSH expuestas y posibles puntos de entrada.<\/p>\n

“Cabe se\u00f1alar que las actividades de reconocimiento y explotaci\u00f3n se llevan a cabo desde servidores previamente comprometidos ubicados, en particular, en el segmento ucraniano de Internet”, CERT-UA dicho<\/a>.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Para enrutar el tr\u00e1fico a trav\u00e9s de dichos nodos, se utilizan Dante, SOCKS5 y otros servidores proxy”.<\/p>\n

Los ataques se caracterizan por el uso de dos programas especializados llamados POEMGATE y POSEIDON que permiten el robo de credenciales y el control remoto de los hosts infectados. Para borrar el rastro forense, se ejecuta una utilidad llamada WHITECAT.<\/p>\n

Es m\u00e1s, el acceso no autorizado persistente a la infraestructura del proveedor se logra mediante cuentas VPN normales que no est\u00e1n protegidas mediante autenticaci\u00f3n multifactor.<\/p>\n

A una infracci\u00f3n exitosa le siguen intentos de desactivar los equipos de red y servidores, espec\u00edficamente los equipos Mikrotik, as\u00ed como los sistemas de almacenamiento de datos.<\/p>\n

El desarrollo se produce cuando la agencia dijo que observ\u00f3 cuatro oleadas de phishing llevadas a cabo por un equipo de piratas inform\u00e1ticos al que rastrea como grupo UAC-0006 utilizando el malware SmokeLoader durante la primera semana de octubre de 2023.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Se utilizan direcciones de correo electr\u00f3nico leg\u00edtimas comprometidas para enviar correos electr\u00f3nicos, y SmokeLoader se entrega a las PC de varias maneras”, CERT-UA dicho<\/a>.<\/p>\n

“La intenci\u00f3n de los atacantes es atacar las computadoras de los contables para robar datos de autenticaci\u00f3n (nombre de usuario, contrase\u00f1a, clave\/certificado) y\/o cambiar los detalles de los documentos financieros en sistemas bancarios remotos para enviar pagos no autorizados”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n