El grupo de estado-naci\u00f3n iran\u00ed conocido como MuddyAgua<\/strong> se ha observado que lleva a cabo ataques destructivos en entornos h\u00edbridos bajo la apariencia de una operaci\u00f3n de ransomware.<\/p>\n Eso es seg\u00fan los nuevos hallazgos del equipo de Microsoft Threat Intelligence, que descubri\u00f3 que el actor de amenazas se dirige tanto a infraestructuras locales como en la nube en asociaci\u00f3n con otro grupo de actividad emergente denominado DEV-1084<\/strong>.<\/p>\n “Si bien los actores de la amenaza intentaron enmascarar la actividad como una campa\u00f1a de ransomware est\u00e1ndar, las acciones irrecuperables muestran que la destrucci\u00f3n y la interrupci\u00f3n eran los objetivos finales de la operaci\u00f3n”, dijo el gigante tecnol\u00f3gico. revel\u00f3<\/a> Viernes.<\/p>\n MuddyWater es el nombre asignado a un actor con sede en Ir\u00e1n que el gobierno de EE. UU. ha conectado p\u00fablicamente con el Ministerio de Inteligencia y Seguridad (MOIS) del pa\u00eds. Se sabe que est\u00e1 activo desde al menos 2017.<\/p>\n La comunidad de ciberseguridad tambi\u00e9n lo rastrea con varios nombres, incluidos Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mercury, Seedworm, Static Kitten, TEMP.Zagros y Yellow Nix.<\/p>\n Los ataques montados por el grupo se han centrado principalmente en las naciones del Medio Oriente, con intrusiones observadas durante el a\u00f1o pasado aprovechando la falla de Log4Shell para violar las entidades israel\u00edes.<\/p>\n Los \u00faltimos hallazgos de Microsoft revelan que el actor de amenazas probablemente trabaj\u00f3 junto con DEV-1084 para llevar a cabo el ataque, el \u00faltimo de los cuales llev\u00f3 a cabo las acciones destructivas despu\u00e9s de que MuddyWater se afianzara con \u00e9xito en el entorno objetivo.<\/p>\n “Mercury probablemente explot\u00f3 vulnerabilidades conocidas en aplicaciones sin parches para el acceso inicial antes de entregar el acceso a DEV-1084 para realizar un amplio reconocimiento y descubrimiento, establecer la persistencia y moverse lateralmente a trav\u00e9s de la red, a menudo esperando semanas y, a veces, meses antes de pasar a la siguiente etapa. “Microsoft dijo.<\/p>\n En la actividad detectada por Redmond, DEV-1084 abus\u00f3 posteriormente de credenciales comprometidas altamente privilegiadas para realizar el cifrado de dispositivos locales y la eliminaci\u00f3n a gran escala de recursos de la nube, incluidas granjas de servidores, m\u00e1quinas virtuales, cuentas de almacenamiento y redes virtuales.<\/p>\n Adem\u00e1s, los actores de amenazas obtuvieron acceso total a las bandejas de entrada de correo electr\u00f3nico a trav\u00e9s de Exchange Web Services, us\u00e1ndolo para realizar “miles de actividades de b\u00fasqueda” y hacerse pasar por un empleado an\u00f3nimo de alto rango para enviar mensajes a destinatarios internos y externos.<\/p>\n Se estima que todas estas acciones ocurrieron durante un per\u00edodo de aproximadamente tres horas que comenz\u00f3 a las 12:38 am (cuando el atacante inici\u00f3 sesi\u00f3n en el entorno de Microsoft Azure a trav\u00e9s de credenciales comprometidas) y finaliz\u00f3 a las 3:21 am (cuando el atacante envi\u00f3 correos electr\u00f3nicos a otras partes despu\u00e9s de la exitosa interrupci\u00f3n de la nube).<\/p>\n Vale la pena se\u00f1alar aqu\u00ed que DEV-1084 se refiere al mismo actor de amenazas<\/a> eso ficticio<\/a> el personaje “DarkBit” como parte de un ataque de ransomware y extorsi\u00f3n dirigido a Technion, una universidad de investigaci\u00f3n l\u00edder en Israel, en febrero. La Direcci\u00f3n Cibern\u00e9tica Nacional de Israel, el mes pasado, atribuido<\/a> el ataque a MuddyWater.<\/p>\n Aprenda a proteger el per\u00edmetro de identidad: estrategias comprobadas<\/p>\n Mejore la seguridad de su empresa con nuestro pr\u00f3ximo seminario web sobre ciberseguridad dirigido por expertos: \u00a1Explore las estrategias del per\u00edmetro de identidad!<\/p>\n No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n “DEV-1084 […] se present\u00f3 como un actor criminal interesado en la extorsi\u00f3n, probablemente como un intento de ofuscar el v\u00ednculo de Ir\u00e1n y la motivaci\u00f3n estrat\u00e9gica para el ataque\u201d, agreg\u00f3 Microsoft.<\/p>\n Los enlaces entre Mercury y DEV-1084 se originan a partir de superposiciones de infraestructura, direcci\u00f3n IP y herramientas, y esta \u00faltima se observa utilizando una utilidad de tunelizaci\u00f3n inversa llamada l\u00edgolo<\/a>un artefacto b\u00e1sico de MuddyWater.<\/p>\n Dicho esto, no hay suficiente evidencia para determinar si DEV-1084 opera independientemente de MuddyWater y colabora con otros actores iran\u00edes, o si es un subequipo que solo se convoca cuando es necesario realizar un ataque destructivo.<\/p>\n Cisco Talos, a principios del a\u00f1o pasado, describi\u00f3 a MuddyWater como un “conglomerado” que comprende varios grupos m\u00e1s peque\u00f1os en lugar de un solo grupo cohesivo. La aparici\u00f3n de DEV-1084 sugiere un gui\u00f1o en esta direcci\u00f3n.<\/p>\n \u201cSi bien estos equipos parecen operar de forma independiente, todos est\u00e1n motivados por los mismos factores que se alinean con los objetivos de seguridad nacional iran\u00ed, incluido el espionaje, el robo intelectual y las operaciones destructivas o perturbadoras basadas en las v\u00edctimas a las que apuntan\u201d, se\u00f1al\u00f3 Talos en marzo de 2022.<\/p>\n <\/p>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1680941328_348_Piratas-informaticos-con-sede-en-Iran-atrapados-llevando-a-cabo.png\")
<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1680941328_773_Piratas-informaticos-con-sede-en-Iran-atrapados-llevando-a-cabo.png\")
<\/div>\n