Agencias de inteligencia y ciberseguridad de Australia, Canad\u00e1 y Estados Unidos han advertido sobre una campa\u00f1a de un a\u00f1o de duraci\u00f3n emprendida por ciberactores iran\u00edes para infiltrarse en organizaciones de infraestructura cr\u00edtica mediante ataques de fuerza bruta.<\/p>\n
“Desde octubre de 2023, los actores iran\u00edes han utilizado la fuerza bruta y la pulverizaci\u00f3n de contrase\u00f1as para comprometer las cuentas de los usuarios y obtener acceso a organizaciones en los sectores de atenci\u00f3n m\u00e9dica y salud p\u00fablica (HPH), gobierno, tecnolog\u00eda de la informaci\u00f3n, ingenier\u00eda y energ\u00eda”, dijeron las agencias. dicho<\/a> en un asesoramiento conjunto.<\/p>\n Los ataques se han dirigido a los sectores de salud, gobierno, tecnolog\u00eda de la informaci\u00f3n, ingenier\u00eda y energ\u00eda, seg\u00fan la Polic\u00eda Federal Australiana (AFP), el Centro Australiano de Seguridad Cibern\u00e9tica (ACSC) de la Direcci\u00f3n de Se\u00f1ales de Australia, el Establecimiento de Seguridad de Comunicaciones de Canad\u00e1 (CSE), el Centro Federal de Seguridad de EE. UU. Oficina de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Agencia de Seguridad Nacional (NSA).<\/p>\n Otra t\u00e1ctica notable fuera de la fuerza bruta y la pulverizaci\u00f3n de contrase\u00f1as se refiere al uso de bombardeo r\u00e1pido de autenticaci\u00f3n multifactor (MFA) para penetrar redes de inter\u00e9s.<\/p>\n “El bombardeo push es una t\u00e1ctica empleada por actores de amenazas que inundan o bombardean a un usuario con notificaciones push de MFA con el objetivo de manipularlo para que apruebe la solicitud, ya sea sin querer o por molestia”, Ray Carney, director de investigaci\u00f3n de Tenable, dijo en un comunicado.<\/p>\n “Esta t\u00e1ctica tambi\u00e9n se conoce como fatiga de MFA. MFA resistente al phishing es el mejor mecanismo para evitar el bombardeo autom\u00e1tico, pero si esa no es una opci\u00f3n, la coincidencia de n\u00fameros (que requiere que los usuarios ingresen un c\u00f3digo de tiempo espec\u00edfico de un sistema de identidad aprobado por la empresa) es una copia de seguridad aceptable. Muchos sistemas de identidad tienen la coincidencia de n\u00fameros como caracter\u00edstica secundaria”.<\/p>\n El objetivo final de estos ataques es probablemente obtener credenciales e informaci\u00f3n que describa la red de la v\u00edctima que luego pueda venderse para permitir el acceso a otros ciberdelincuentes, haci\u00e9ndose eco de una alerta emitida anteriormente por Estados Unidos en agosto de 2024.<\/p>\n Al acceso inicial le siguen pasos para realizar un reconocimiento exhaustivo de los sistemas y la red de la entidad utilizando herramientas de vida fuera de la tierra (LotL), escalar privilegios a trav\u00e9s de CVE-2020-1472 (tambi\u00e9n conocido como Zerologon) y movimiento lateral a trav\u00e9s de RDP. Tambi\u00e9n se ha descubierto que el actor de amenazas registra sus propios dispositivos con MFA para mantener la persistencia.<\/p>\n Los ataques, en algunos casos, se caracterizan por utilizar msedge.exe para establecer conexiones salientes a la infraestructura de comando y control (C2) de Cobalt Strike.<\/p>\n “Los actores realizaron descubrimientos en las redes comprometidas para obtener credenciales adicionales e identificar otra informaci\u00f3n que podr\u00eda usarse para obtener puntos de acceso adicionales”, dijeron las agencias, y agregaron que “venden esta informaci\u00f3n en foros de cibercriminales a actores que pueden usar la informaci\u00f3n para llevar a cabo actividades maliciosas adicionales.”<\/p>\n La alerta llega semanas despu\u00e9s de que las agencias gubernamentales de los pa\u00edses de Five Eyes publicaran una gu\u00eda sobre las t\u00e9cnicas comunes que utilizan los actores de amenazas para comprometer Active Directory.<\/p>\n “Active Directory es la soluci\u00f3n de autenticaci\u00f3n y autorizaci\u00f3n m\u00e1s utilizada en las redes de tecnolog\u00eda de la informaci\u00f3n (TI) empresarial a nivel mundial”, afirman las agencias. dicho<\/a>. “Los actores maliciosos atacan rutinariamente a Active Directory como parte de los esfuerzos para comprometer las redes de TI empresariales aumentando los privilegios y apuntando a los objetos de usuario m\u00e1s confidenciales”.<\/p>\n Tambi\u00e9n sigue a un cambio en el panorama de amenazas en el que los equipos de pirater\u00eda de los estados-naci\u00f3n colaboran cada vez m\u00e1s con los ciberdelincuentes, subcontratando algunas partes de sus operaciones para promover sus motivos geopol\u00edticos y financieros, dijo Microsoft. dicho<\/a>.<\/p>\n “Los actores de amenazas de los estados-naci\u00f3n est\u00e1n llevando a cabo operaciones para obtener ganancias financieras y solicitando la ayuda de ciberdelincuentes y malware comercial para recopilar inteligencia”, dijo el gigante tecnol\u00f3gico. anotado<\/a> en su Informe de Defensa Digital para 2024.<\/p>\n “Los actores de amenazas de estados-naci\u00f3n llevan a cabo operaciones para obtener ganancias financieras, reclutan a ciberdelincuentes para recopilar inteligencia sobre el ej\u00e9rcito ucraniano y hacen uso de los mismos ladrones de informaci\u00f3n, marcos de comando y control y otras herramientas favorecidas por la comunidad cibercriminal”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Estados-Unidos-y-sus-aliados-advierten-sobre-ciberataques-iranies-a.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n