La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha revelado que el entorno de red de una organizaci\u00f3n gubernamental estatal an\u00f3nima se vio comprometido a trav\u00e9s de una cuenta de administrador que pertenec\u00eda a un ex empleado.<\/p>\n
“Esto permiti\u00f3 al actor de amenazas autenticarse exitosamente en un punto de acceso interno de red privada virtual (VPN)”, dijo la agencia. dicho<\/a> en un aviso conjunto publicado el jueves junto con el Centro de An\u00e1lisis e Intercambio de Informaci\u00f3n Multiestatal (MS-ISAC).<\/p>\n “El actor de amenazas conectado con el [virtual machine] a trav\u00e9s de la VPN de la v\u00edctima con la intenci\u00f3n de mezclarse con el tr\u00e1fico leg\u00edtimo para evadir la detecci\u00f3n”.<\/p>\n Se sospecha que el actor de amenazas obtuvo las credenciales luego de una violaci\u00f3n de datos separada debido al hecho de que las credenciales aparecieron en canales disponibles p\u00fablicamente que conten\u00edan informaci\u00f3n de cuenta filtrada.<\/p>\n La cuenta de administrador, que ten\u00eda acceso a un servidor SharePoint virtualizado, tambi\u00e9n permiti\u00f3 a los atacantes acceder a otro conjunto de credenciales almacenadas en el servidor, que ten\u00eda privilegios administrativos tanto para la red local como para Azure Active Directory (ahora llamado Microsoft Entra ID). ).<\/p>\n Esto hizo posible adem\u00e1s explorar el entorno local de la v\u00edctima y ejecutar varias consultas de protocolo ligero de acceso a directorios (LDAP) contra un controlador de dominio. Actualmente se desconocen los atacantes detr\u00e1s de la actividad maliciosa.<\/p>\n Una investigaci\u00f3n m\u00e1s profunda sobre el incidente no ha revelado evidencia de que el adversario se haya movido lateralmente del entorno local a la infraestructura de la nube de Azure.<\/p>\n Los atacantes finalmente accedieron a la informaci\u00f3n del host y del usuario y publicaron la informaci\u00f3n en la web oscura para obtener una posible ganancia financiera, se\u00f1al\u00f3 el bolet\u00edn, lo que llev\u00f3 a la organizaci\u00f3n a restablecer las contrase\u00f1as de todos los usuarios, deshabilitar la cuenta de administrador y eliminar los privilegios elevados para la segunda cuenta. .<\/p>\n Vale la pena se\u00f1alar que ninguna de las dos cuentas ten\u00eda habilitada la autenticaci\u00f3n multifactor (MFA), lo que subraya la necesidad de proteger cuentas privilegiadas que otorguen acceso a sistemas cr\u00edticos. Tambi\u00e9n se recomienda implementar el principio de privilegio m\u00ednimo y crear cuentas de administrador independientes para segmentar el acceso a entornos locales y de nube.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/Red-del-gobierno-estatal-de-EE-UU-violada-a-traves.jpg\")
<\/a><\/center><\/div>\n