{"id":1217255,"date":"2024-03-05T11:06:46","date_gmt":"2024-03-05T11:06:46","guid":{"rendered":"https:\/\/teknomers.com\/es\/advertencia-el-ataque-de-secuestro-de-subprocesos-se-dirige-a-las-redes-de-ti-y-roba-hashes-ntlm\/"},"modified":"2024-03-05T11:06:50","modified_gmt":"2024-03-05T11:06:50","slug":"advertencia-el-ataque-de-secuestro-de-subprocesos-se-dirige-a-las-redes-de-ti-y-roba-hashes-ntlm","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/advertencia-el-ataque-de-secuestro-de-subprocesos-se-dirige-a-las-redes-de-ti-y-roba-hashes-ntlm\/","title":{"rendered":"Advertencia: el ataque de secuestro de subprocesos se dirige a las redes de TI y roba hashes NTLM"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>05 de marzo de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Seguridad del correo electr\u00f3nico\/Seguridad de la red<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El actor de amenazas conocido como TA577<\/strong> Se ha observado el uso de archivos adjuntos ZIP en correos electr\u00f3nicos de phishing con el objetivo de robar hashes de NT LAN Manager (NTLM).<\/p>\n

La nueva cadena de ataque “puede utilizarse con fines de recopilaci\u00f3n de informaci\u00f3n confidencial y para permitir actividades de seguimiento”, dijo la firma de seguridad empresarial Proofpoint. dicho<\/a> en un informe del lunes.<\/p>\n

Se observaron al menos dos campa\u00f1as que aprovecharon este enfoque los d\u00edas 26 y 27 de febrero de 2024, a\u00f1adi\u00f3 la empresa. Las oleadas de phishing difundieron miles de mensajes y se dirigieron a cientos de organizaciones en todo el mundo.<\/p>\n

\"La<\/a><\/center><\/div>\n

Los mensajes en s\u00ed aparecieron como respuestas a correos electr\u00f3nicos anteriores, una t\u00e9cnica conocida llamada secuestro de hilos, en un intento por aumentar la probabilidad de \u00e9xito de los ataques.<\/p>\n

Los archivos adjuntos ZIP vienen con un archivo HTML que est\u00e1 dise\u00f1ado para comunicarse con un servidor de Bloque de mensajes del servidor (SMB) controlado por un actor.<\/p>\n

“El objetivo de TA577 es capturar pares de desaf\u00edo\/respuesta NTLMv2 del servidor SMB para robar hashes NTLM en funci\u00f3n de las caracter\u00edsticas de la cadena de ataque y las herramientas utilizadas”, dijo la compa\u00f1\u00eda, que luego podr\u00eda usarse para pasar el hash (PtH<\/a>) ataques de tipo.<\/p>\n

\"Ataque<\/a><\/div>\n

Esto significa que los adversarios que poseen un hash de contrase\u00f1a no necesitan la contrase\u00f1a subyacente para autenticar una sesi\u00f3n, lo que en \u00faltima instancia les permite moverse a trav\u00e9s de una red y obtener acceso no autorizado a datos valiosos.<\/p>\n

TA577, que se superpone con un grupo de actividades rastreado por Trend Micro como Water Curupira, es uno de los grupos de ciberdelincuencia m\u00e1s sofisticados. En el pasado se ha relacionado con la distribuci\u00f3n de familias de malware como QakBot y PikaBot.<\/p>\n

\"La<\/a><\/center><\/div>\n

“La velocidad a la que TA577 adopta y distribuye nuevas t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) sugiere que el actor de amenazas probablemente tenga el tiempo, los recursos y la experiencia para iterar y probar r\u00e1pidamente nuevos m\u00e9todos de entrega”, dijo Proofpoint.<\/p>\n

Tambi\u00e9n describi\u00f3 al actor de amenazas como muy consciente de los cambios en el panorama de las amenazas cibern\u00e9ticas, adaptando y refinando r\u00e1pidamente sus t\u00e9cnicas y m\u00e9todos de entrega para evitar la detecci\u00f3n y eliminar una variedad de cargas \u00fatiles. Se recomienda encarecidamente a las organizaciones que bloqueen las SMB salientes para evitar la explotaci\u00f3n.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n