Cisco Talos analizó los 14 principales grupos de ransomware entre 2023 y 2024 para exponer su cadena de ataque y destacar tácticas, técnicas y protocolos interesantes. La empresa de seguridad también expuso las vulnerabilidades más aprovechadas que activan los actores de ransomware. Cadena de ataque de ransomware: lo que aprendieron los investigadores de Cisco Talos Casi todos los actores de ransomware utilizan la misma cadena de ataque. Cadena de ataque de ransomware típica. Imagen: Cisco Talos Primer paso para los actores de ransomware El primer paso del actor de amenazas consiste en obtener acceso a la entidad objetivo. Para lograr ese objetivo, los actores de ransomware utilizan diferentes técnicas: una de las técnicas más comunes es aplicar ingeniería social a sus objetivos enviando correos electrónicos que contienen archivos o enlaces maliciosos que ejecutarán malware en el sistema objetivo. Luego, el malware permitirá al atacante implementar más herramientas y malware para alcanzar sus objetivos. La autenticación multifactor puede omitirse en este momento utilizando varias técnicas, ya sea por una mala implementación de MFA o por poseer credenciales válidas. Talos también informó que un número cada vez mayor de afiliados de ransomware escanean los sistemas que dan a Internet en busca de vulnerabilidades o configuraciones erróneas que podrían permitirles comprometer el sistema. El software sin parches o heredado es un riesgo particularmente alto. Segundo paso para los actores de ransomware El segundo paso es ganar persistencia en caso de que se descubra el vector inicial de compromiso; esa persistencia en los sistemas generalmente se logra modificando las claves del registro de Windows o habilitando la ejecución automática del código malicioso al iniciar el sistema. También se pueden crear cuentas locales, de dominio y/o en la nube para la persistencia. Tercer paso para los actores de ransomware En el tercer paso, el actor de amenazas escanea el entorno de red para comprender mejor las partes internas de la infraestructura. En este paso se identifican los datos de valor que se pueden usar para el rescate. Para acceder con éxito a todas las partes de la red, los atacantes a menudo usan herramientas para elevar sus privilegios al nivel de administrador, además de usar herramientas que permiten el escaneo de red. Las herramientas populares para estas tareas son los binarios Living Off the Land, también conocidos como LOLbins, porque son archivos ejecutables nativos del sistema operativo y menos propensos a generar alertas. Cuarto paso para los actores del ransomware El atacante está listo para recolectar y robar datos confidenciales, que a menudo comprimen con utilidades (como 7-Zip o WinRAR) antes de exfiltrar los datos a servidores controlados por el atacante mediante herramientas de monitoreo y administración remotas o más personalizadas, como StealBit o Exabyte, por ejemplo, creadas por los grupos de ransomware LockBit y BlackByte. Posible quinto paso para los actores del ransomware Si el objetivo es el robo de datos o la extorsión, la operación ha terminado. Si el objetivo es cifrar datos, el atacante debe probar el ransomware en el entorno, es decir, verificar los mecanismos de entrega y las comunicaciones entre el ransomware y el servidor C2, antes de lanzarlo para cifrar la red y notificar a la víctima que ha sido violada y necesita pagar el rescate. Cobertura de seguridad de lectura obligada Tres vulnerabilidades más abusadas Cisco Talos informó que tres vulnerabilidades en aplicaciones públicas son comúnmente explotadas por actores de amenazas de ransomware. CVE-2020-1472, también conocida como Zerologon, explota una falla en el protocolo remoto Netlogon que permite a los atacantes eludir la autenticación y cambiar las contraseñas de las computadoras dentro del Active Directory de un controlador de dominio. Este exploit es ampliamente utilizado por los actores de ransomware porque les permite obtener acceso a una red sin autenticación. CVE-2018-13379, una vulnerabilidad de VPN SSL de Fortinet FortiOS, permite atravesar rutas que permiten a un atacante acceder a archivos del sistema mediante el envío de paquetes HTTP especialmente diseñados. De esta manera, se puede acceder a los tokens de sesión de VPN, que se pueden usar para obtener acceso no autenticado a la red. CVE-2023-0669, una vulnerabilidad de GoAnywhere MFT, permite a los atacantes ejecutar código arbitrario en un servidor específico que utiliza el software GoAnywhere Managed File Transfer. Esta es la vulnerabilidad más reciente enumerada por Cisco Talos en su informe. Todas esas vulnerabilidades permiten a los actores de ransomware obtener acceso inicial y manipular sistemas para ejecutar más cargas útiles maliciosas, instalar persistencia o facilitar movimientos laterales dentro de redes comprometidas. DESCARGAR: Beneficios y mejores prácticas de ciberseguridad de TechRepublic Premium TTP notables de 14 grupos de ransomware Cisco Talos observó los TTP utilizados por 14 de los grupos de ransomware más prevalentes en función de su volumen de ataque, impacto en los clientes y comportamiento atípico. Grupos de ransomware clasificados por número de víctimas en sus sitios de filtración. Imagen: Cisco Talos Uno de los hallazgos clave con respecto a los TTP indica que muchos de los grupos más destacados priorizan establecer un compromiso inicial y evadir las defensas en sus cadenas de ataque. Los actores de amenazas de ransomware a menudo ofuscan su código malicioso al empaquetarlo y comprimiéndolo y modifican el registro de sistemas para deshabilitar las alertas de seguridad en el punto final o servidor. También pueden bloquear ciertas opciones de recuperación para los usuarios. Los investigadores de Cisco Talos destacaron que la técnica de acceso a credenciales más frecuente es el volcado del contenido de la memoria LSASS para extraer contraseñas de texto simple, contraseñas en hash o tokens de autenticación almacenados en la memoria. Otra tendencia en las actividades de C2 es el uso de herramientas disponibles comercialmente, como las aplicaciones RMM. Estas aplicaciones generalmente son de confianza para el entorno y permiten al atacante mezclarse con el tráfico de la red corporativa. Cómo mitigar la amenaza del ransomware Para empezar, es obligatorio aplicar parches y actualizaciones a todos los sistemas y software; este mantenimiento constante es necesario para reducir el riesgo de verse comprometido por un exploit. Se deben implementar políticas de contraseñas estrictas y MFA. Se deben establecer contraseñas complejas y únicas para cada usuario y se debe aplicar MFA, por lo que un atacante que posea credenciales válidas aún no pueda acceder a la red de destino. Se deben aplicar las mejores prácticas para endurecer todos los sistemas y entornos. Los servicios y funciones innecesarios deben deshabilitarse para reducir la superficie de ataque. Además, se debe reducir la exposición a Internet limitando la cantidad de servicios públicos tanto como sea posible. Las redes deben segmentarse mediante VLAN o tecnologías similares. Los datos y sistemas confidenciales deben aislarse de otras redes para evitar movimientos laterales de un atacante. Los puntos finales deben ser monitoreados por un sistema de administración de eventos e información de seguridad, y deben implementarse herramientas de detección y respuesta de puntos finales o de detección y respuesta extendidas. Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
Etiqueta: Ingeniería social
Un actor de amenazas pasó silenciosamente los últimos dos años integrándose en el equipo central de mantenedores de XZ Utils, un compresor de datos de línea de comandos de software gratuito ampliamente utilizado en sistemas Linux. El atacante logró lentamente integrar una puerta trasera en el software que fue diseñada para interferir con SSHD y permitir la ejecución remota de código a través de un certificado de inicio de sesión SSH. La puerta trasera fue descubierta unos días antes de ser lanzada en varios sistemas Linux en todo el mundo. Se sospecha que el actor de la amenaza es un desarrollador con el nombre de Jian Tan o que lo utiliza. Varios expertos en seguridad creen que este ataque a la cadena de suministro podría estar patrocinado por el estado. ¿Qué es XZ Utils y qué es la puerta trasera XZ? XZ Utils y su biblioteca subyacente liblzma es una herramienta de software gratuita que implementa XZ y LZMA, que son dos algoritmos de compresión/descompresión ampliamente utilizados en sistemas basados en Unix, incluidos los sistemas Linux. Muchas operaciones en esos sistemas utilizan XZ Utils para comprimir y descomprimir datos. La puerta trasera CVE-2024-3094 que se encuentra en XZ Utils se implementó para interferir con la autenticación en SSHD, el software del servidor OpenSSH que maneja conexiones SSH. La puerta trasera permitió a un atacante ejecutar código remoto a través de un certificado de inicio de sesión SSH. Solo las versiones 5.6.0 y 5.6.1 de XZ Utils se ven afectadas. Cómo se implementó cautelosamente la puerta trasera XZ durante más de años El 29 de marzo de 2024, el ingeniero de software de Microsoft, Andrés Freund, informó el descubrimiento de la puerta trasera. Lo encontró cuando se interesó en el comportamiento extraño de una instalación sid de Debian, como los inicios de sesión SSH que consumen mucha CPU y errores de Valgrind, y decidió analizar los síntomas en profundidad. Freund explicó que el descubrimiento de la puerta trasera en XZ fue cuestión de suerte, ya que «realmente requirió muchas coincidencias». Sin embargo, parece que la implementación de la puerta trasera ha sido un proceso muy silencioso que duró unos dos años. En 2021, un desarrollador llamado Jian Tan, nombre de usuario JiaT75, apareció de la nada para comenzar a trabajar en el código de XZ Utils, lo cual no es inusual porque los desarrolladores de software libre a menudo trabajan juntos para actualizar el código. Tan contribuyó con frecuencia al proyecto XZ desde finales de 2021, generando poco a poco confianza en la comunidad. En mayo de 2022, un usuario desconocido que utilizaba el nombre falso de Dennis Ens se quejó en la lista de correo de XZ de que la actualización del software no era satisfactoria. Otro usuario desconocido, Jigar Kumar, entró en la discusión dos veces para presionar al desarrollador principal de XZ Utils, Lasse Collin, para que agregara un mantenedor al proyecto. «El progreso no se producirá hasta que haya un nuevo responsable», escribió Jigar Kumar. “¿Por qué esperar hasta la 5.4.0 para cambiar de mantenedor? ¿Por qué retrasar lo que necesita su repositorio? Mientras tanto, Collin expresó que “Jia Tan me ha ayudado a salir de la lista de XZ Utils y podría tener un papel más importante en el futuro, al menos con XZ Utils. Está claro que mis recursos son demasiado limitados (de ahí la gran cantidad de correos electrónicos que esperan respuesta), por lo que algo tiene que cambiar a largo plazo”. (Collin escribió Jia en su mensaje, mientras que otros mensajes hacen referencia a Jian. Para aumentar la confusión, el apodo de Jian es JiaT75). En los meses siguientes, Tan se involucró cada vez más en XZ Utils y se convirtió en co-mantenedor del proyecto. En febrero de 2024, Tan emitió confirmaciones para las versiones 5.6.0 y 5.6.1 de XZ Utils, las cuales contenían la puerta trasera. También es interesante señalar que en julio de 2023, Tan solicitó desactivar ifunc (función indirecta de GNU) en oss-fuzz, una herramienta pública creada para detectar vulnerabilidades de software. Esa operación probablemente se realizó para permitir que la puerta trasera en XZ pasara desapercibida una vez que se lanzara, ya que la puerta trasera hace uso de esa función para lograr sus objetivos. Finalmente, el atacante se ha puesto en contacto con varios responsables de diferentes distribuciones de Linux para incluir las versiones con puerta trasera de XZ Utils en sus propias distribuciones. Richard WM Jones de RedHat escribió sobre esto en un foro: “Muy molesto: el aparente autor de la puerta trasera estuvo en comunicación conmigo durante varias semanas tratando de agregar xz 5.6.x a Fedora 40 y 41 debido a sus ‘excelentes características nuevas’. ‘. Incluso trabajamos con él para solucionar el problema de valgrind (que ahora resulta que fue causado por la puerta trasera que había agregado). Anoche tuvimos que correr para solucionar el problema después de una ruptura involuntaria del embargo. Ha sido parte del proyecto xz durante 2 años, agregando todo tipo de archivos binarios de prueba y, para ser honesto, con este nivel de sofisticación, sospecharía de versiones aún más antiguas de xz hasta que se demuestre lo contrario”. Tan también intentó incluirlo en Ubuntu. Cobertura de seguridad de lectura obligada Puerta trasera XZ: un ataque altamente técnico Además de la ingeniería social altamente elaborada tratada anteriormente en este artículo, la puerta trasera en sí es muy compleja. El investigador senior de amenazas de Microsoft, Thomas Roccia, diseñó y publicó una infografía para mostrar toda la operación que condujo a CVE-2024-3094 (Figura A). Figura A Toda la operación CVE-2024-3094. Imagen: Thomas Roccia La puerta trasera se compone de varias partes que se han incluido en múltiples confirmaciones en XZ Utils GitHub, descritas en profundidad por Freund. Gynvael Coldwind, director general de HexArcana Cybersecurity GmbH, una empresa de ciberseguridad que ofrece servicios de consultoría y cursos, escribió en un análisis detallado de la puerta trasera que “alguien se esforzó mucho para que esto tuviera un aspecto bastante inocente y estuviera decentemente oculto. Desde archivos de prueba binarios utilizados para almacenar carga útil hasta tallado de archivos, cifrados de sustitución y una variante RC4 implementada en AWK, todo hecho con herramientas de línea de comandos estándar. Y todo esto en 3 etapas de ejecución, y con un sistema de ‘extensión’ para preparar las cosas para el futuro y no tener que cambiar los archivos binarios de prueba nuevamente”. DESCARGAR: Glosario rápido de código abierto de TechRepublic Premium Martin Zugec, director de soluciones técnicas de Bitdefender, dijo en un comunicado proporcionado a TechRepublic que “esto parece ser un ataque plurianual meticulosamente planificado, posiblemente respaldado por un actor estatal. Teniendo en cuenta los enormes esfuerzos invertidos y la baja prevalencia de sistemas vulnerables que estamos viendo, los actores de amenazas responsables deben estar extremadamente descontentos en este momento porque su nueva arma fue descubierta antes de que pudiera desplegarse ampliamente”. ¿Qué sistemas operativos se ven afectados por la puerta trasera XZ? Gracias al descubrimiento de Freund, el ataque fue detenido antes de extenderse a mayor escala. La empresa de ciberseguridad Tenable expuso los siguientes sistemas operativos que se sabe que están afectados por la puerta trasera XZ: Fedora Rawhide. Fedora 40 Beta. Fedora 41. Pruebas de Debian, distribuciones inestables y experimentales versiones 5.5.1alpha-01 a 5.6.1-1. openSUSE Tumbleweed. openSUSE MicroOS. KaliLinux. Arco Linux. En una publicación de blog, Red Hat informó que ninguna versión de Red Hat Enterprise Linux se ve afectada por CVE-2024-3094. Debian indicó que ninguna versión estable de la distribución se vio afectada y Ubuntu publicó que ninguna versión publicada de Ubuntu se vio afectada. El administrador de paquetes homebrew de MacOS revirtió XZ de 5.6.x a 5.4.6, una versión más antigua pero segura. Bo Anderson, mantenedor y miembro del comité directivo técnico de Homebrew, declaró que Homebrew no “… cree que las compilaciones de Homebrew hayan sido comprometidas (la puerta trasera solo se aplica a las compilaciones deb y rpm) pero 5.6.x está siendo tratado como si ya no fuera confiable y como precaución están forzando rebajas a 5.4.6”. Cómo mitigar y protegerse de esta amenaza de puerta trasera de XZ. Es posible que más sistemas se vean afectados, especialmente aquellos en los que los desarrolladores compilaron las versiones vulnerables de XZ. La empresa de seguridad Binarly ofrece una herramienta de detección en línea que podría usarse para probar sistemas y ver si están afectados por la puerta trasera XZ. La versión de XZ debe comprobarse cuidadosamente, ya que las versiones 5.6.0 y 5.6.1 contienen la puerta trasera. Se recomienda volver a una versión segura anterior conocida de XZ Utils, como 5.4. Los ataques a la cadena de suministro de software están aumentando Como se informó anteriormente en TechRepublic, los actores de amenazas utilizan cada vez más los ataques a la cadena de suministro de software. Sin embargo, los ataques habituales a la cadena de suministro de software consisten principalmente en lograr comprometer una cuenta clave en el proceso de desarrollo de software y utilizar la cuenta para enviar contenido malicioso a software legítimo, que a menudo se detecta con bastante rapidez. En el caso de XZ Utils, es muy diferente porque el actor de la amenaza logró cuidadosamente ganarse la confianza de los desarrolladores legítimos y convertirse en uno de los mantenedores de la herramienta, lo que le permitió introducir lentamente diferentes partes vulnerables del código en el software sin que nadie se diera cuenta. Los ataques a la cadena de suministro de software no son las únicas amenazas crecientes; También están aumentando otros ataques a la cadena de suministro basados en productos de TI. Por lo tanto, las empresas deben asegurarse de que se tenga en cuenta a terceros en el seguimiento de la superficie de ataque. Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
Comparte en tu plataforma favoritaEl 15 de febrero, Twitter anunció que a los usuarios se les cobrará por el servicio de autenticación de dos factores por SMS. Solo los usuarios con Twitter Blue tendrán activada esta función. Esto, por supuesto, impondrá un desafío de seguridad a aquellos que dependen de SMS 2FA para acceder a su cuenta, dejando sus cuentas vulnerables ya que solo se podrá acceder a ellas mediante contraseña. Twitter afirma que SMS 2FA podría verse beneficiado por malos actores, SMS 2FA podría ser aprovechado por piratas informáticos en lo que se conoce como ataque de intercambio de SIM, que es un tipo de ataque de ingeniería social en el que un pirata informático engaña a un operador de telefonía móvil para que transfiera el teléfono de una víctima. número a una tarjeta SIM controlada por el atacante. Esto permite al atacante interceptar códigos de autenticación de dos factores y obtener acceso a las cuentas de la víctima. En esta publicación, exploraremos formas de mantener segura su cuenta de Twitter sin dinero. Nuestro enfoque es seguir usando 2FA, pero en lugar de hacerlo mediante SMS, usaremos aplicaciones 2FA en línea, como Google Authenticator o Microsoft Authenticator. De esta manera, si recibe códigos 2FA por SMS, puede generar un código usando una aplicación de autenticación en su teléfono. aplicación de autenticación de Google Pasos para proteger su Twitter Para agregar una aplicación de autenticación a Twitter, puede seguir estos pasos: Primero, descargue una aplicación de autenticación en su dispositivo móvil. Inicie sesión en su cuenta de Twitter en la web usando su computadora. Haga clic en su foto de perfil en la esquina superior derecha y seleccione «Configuración y privacidad» en el menú desplegable. En el menú de la izquierda, seleccione «Seguridad y acceso a la cuenta». Desplácese hacia abajo hasta «Autenticación de dos factores» y haga clic en «Configurar». Twitter le pedirá que verifique su contraseña. Ingréselo y haga clic en «Verificar». En la siguiente pantalla, seleccione «Aplicación de autenticación» como método de verificación y haga clic en «Iniciar». Sigue las indicaciones para escanear el código QR que aparece en la pantalla con tu aplicación de autenticación. Una vez que su aplicación haya escaneado el código, generará un código de seis dígitos. Ingrese este código en el campo «Ingresar código de seguridad» en la pantalla de Twitter y haga clic en «Verificar». Twitter confirmará que la autenticación de dos factores ya está configurada en su cuenta. Es posible que se le solicite que ingrese un código de respaldo en caso de que pierda el acceso a su aplicación de autenticación. Asegúrese de guardar este código en un lugar seguro. Configuración de la cuenta de Twitter 2FA ¡Felicitaciones! Ahora ha agregado con éxito una aplicación de autenticación a su cuenta de Twitter. Nuestro equipo recibió muchos correos electrónicos sobre este problema y decidimos publicar la respuesta. Relacionado Comparte en tu plataforma favorita
Una guía para investigadores de OSINT En el dinámico campo de la inteligencia de código abierto (OSINT), mantenerse a la vanguardia en el juego de la ciberseguridad es crucial. Una amenaza importante que a menudo pasa desapercibida es la ingeniería social. A diferencia de los ciberataques tradicionales, la ingeniería social es más insidiosa y no explota las vulnerabilidades del sistema sino las humanas. Como investigadores de OSINT, es vital ser expertos no sólo en la recopilación de datos sino también en la psicología humana, especialmente en la comprensión y la lucha contra las tácticas de ingeniería social. Los ataques de ingeniería social manipulan nuestros sesgos cognitivos naturales. Estos sesgos son los atajos mentales que utilizamos en la toma de decisiones y la resolución de problemas. Por ejemplo, podríamos creer en información que se alinea con nuestras creencias existentes (sesgo de confirmación) o darle importancia indebida a información que es fácil de recuperar o reciente (heurística de disponibilidad). Otra trampa común es el sesgo de anclaje, donde confiamos demasiado en la primera información que recibimos. Para combatir estas amenazas, el primer paso es crear conciencia. Comprender estos sesgos nos ayuda a mantenernos alerta contra la manipulación. Pero saber no es suficiente; También debemos cultivar una cultura del escepticismo. En el mundo de OSINT, verificar la información y las fuentes puede significar la diferencia entre una investigación exitosa y una comprometida. Otra estrategia eficaz es adoptar diversas perspectivas. Trabajar con un equipo puede proporcionar una variedad de puntos de vista, lo que ayuda a identificar puntos ciegos y reduce el riesgo de pensamiento grupal. Además, el empleo de técnicas analíticas estructuradas puede proteger aún más contra conclusiones apresuradas. Métodos como comparar diferentes hipótesis fomentan la consideración de múltiples ángulos, fomentando así un análisis más exhaustivo y objetivo. Sin embargo, el panorama de la ciberseguridad está en constante evolución, al igual que las tácticas de los ingenieros sociales. El aprendizaje y la adaptación continuos son clave. Es fundamental mantenerse al tanto de las últimas tendencias, amenazas y defensas en ingeniería social. Para los investigadores del OSINT, ciertos consejos prácticos pueden resultar de gran ayuda. Desarrollar habilidades para detectar el engaño en la comunicación es un activo valioso. Prestar mucha atención no sólo a lo que se dice sino también a cómo se dice puede revelar manipulaciones subyacentes. En algunos casos, la ingeniería social inversa, en la que se controla la conversación y se extrae información sobre el atacante, puede ser una contramedida eficaz. La capacitación periódica basada en escenarios puede preparar a los investigadores para situaciones del mundo real, mejorando su capacidad para detectar y frustrar intentos de ingeniería social. Además, es crucial aprovechar las herramientas OSINT para verificar la autenticidad de la información. En la era digital actual, donde la desinformación abunda, estas herramientas son indispensables para validar datos y fuentes. En conclusión, como profesionales de OSINT, nuestra fortaleza radica no solo en nuestra experiencia técnica sino también en nuestra comprensión de la psicología humana. Si somos conscientes de nuestros sesgos cognitivos, fomentamos el pensamiento crítico y nos adaptamos continuamente a nuevas amenazas, podemos reforzar significativamente nuestras defensas contra los ataques de ingeniería social. Para obtener más información y estrategias detalladas, explorar recursos como DavinciForensics.co.za puede resultar inmensamente beneficioso. En la batalla contra las ciberamenazas, mantenernos informados y ser escépticos son nuestras mejores defensas. Únase a Sharon en la Cumbre SANS OSINT 2024.
Los piratas informáticos estatales rusos están adaptando sus técnicas para atacar a las organizaciones que se trasladan a la nube, advirtió un aviso del Centro Nacional de Seguridad Cibernética del Reino Unido y agencias de seguridad internacionales. El aviso detalla cómo el grupo de ciberespionaje APT29 está apuntando directamente a las debilidades en los servicios en la nube utilizados por las organizaciones víctimas para obtener acceso inicial a sus sistemas. APT29 también está ampliando el alcance de sus ataques más allá de los gobiernos, los grupos de expertos, los proveedores de atención médica y de energía para incluir víctimas en la aviación, la educación, las fuerzas del orden, los consejos locales y estatales, los departamentos financieros gubernamentales y las organizaciones militares. APT29 ha sido vinculado al Servicio de Inteligencia Exterior de Rusia. El aviso insta a las organizaciones a abordar las vulnerabilidades comunes en sus entornos de nube eliminando cuentas inactivas, habilitando la autenticación multifactor y creando cuentas canary para monitorear actividades sospechosas. ¿Quién es APT29? APT29, también conocido como Cozy Bear, Midnight Blizzard o The Dukes, es un grupo de ciberespionaje que se cree que es el autor del infame ataque SolarWinds de 2020, que aprovechó las vulnerabilidades de la red Orion y tuvo un impacto devastador en las agencias gubernamentales de EE. UU. y varias empresas del sector privado. El grupo de hackers también fue culpado por el reciente ataque de difusión de contraseñas a Microsoft que resultó en el compromiso de una pequeña cantidad de cuentas de correo electrónico corporativas. Cómo APT29 está adaptando sus ciberataques para centrarse en entornos basados en la nube y «bombardeo MFA» Según el aviso, se ha observado que APT29 utiliza una serie de técnicas durante los últimos 12 meses que sugieren que se está adaptando al cambio hacia operaciones basadas en la nube. ambientes en los sectores público y privado. Específicamente, el grupo está explotando cada vez más las debilidades de los servicios en la nube utilizados por las organizaciones para obtener acceso inicial a las redes. Esto marca un alejamiento de los métodos de ataque tradicionales utilizados por el grupo, es decir, aquellos que apuntan a equipos locales. Las técnicas utilizadas por APT29 incluyen la difusión de contraseñas y ataques de fuerza bruta dirigidos a cuentas que están inactivas o no son operadas por una persona y se utilizan para administrar otras aplicaciones en la red. “Este tipo de cuenta se utiliza normalmente para ejecutar y administrar aplicaciones y servicios. No hay ningún usuario humano detrás de ellas, por lo que no pueden protegerse fácilmente con autenticación multifactor (MFA), lo que hace que estas cuentas sean más susceptibles a un compromiso exitoso”, señala el aviso. “Las cuentas de servicio a menudo también tienen muchos privilegios dependiendo de qué aplicaciones y servicios son responsables de administrar. Obtener acceso a estas cuentas proporciona a los actores de amenazas un acceso inicial privilegiado a una red para lanzar más operaciones”. APT29 también está explotando las debilidades de los protocolos MFA a través del «bombardeo MFA», que implica bombardear el dispositivo de la víctima con solicitudes de autenticación hasta que se cansa de aceptar, ya sea accidentalmente o no. Después de eludir MFA, los piratas informáticos pueden registrar su propio dispositivo en la red y obtener un acceso más profundo a los sistemas de la organización víctima. También se ha observado que los actores de SVR roban tokens de autenticación emitidos por el sistema, lo que les permite acceder a las cuentas de las víctimas sin necesidad de una contraseña. Toby Lewis, jefe de análisis de amenazas de la empresa británica de ciberseguridad Darktrace, dijo que el cambio en las tácticas de APT29 destacó algunos de los «desafíos inherentes» a la seguridad de la infraestructura de la nube. «La creciente migración de datos y cargas de trabajo a la nube ha abierto nuevas superficies de ataque que los ciberdelincuentes están ansiosos por explotar», dijo Lewis a TechRepublic por correo electrónico. “Los entornos de nube contienen enormes cantidades de datos confidenciales que atraen tanto a los malos actores como a los grupos de estados-nación. La naturaleza distribuida de la infraestructura de la nube, el rápido aprovisionamiento de recursos y la prevalencia de configuraciones erróneas han planteado importantes desafíos de seguridad”. Cómo los piratas informáticos de SVR pasan desapercibidos Los servidores proxy residenciales y las cuentas inactivas también están demostrando ser herramientas muy útiles para los piratas informáticos de SVR, señala el aviso. Las cuentas inactivas generalmente se crean cuando un empleado deja una organización pero su cuenta permanece activa. Los piratas informáticos que tienen acceso a una cuenta inactiva pueden eludir cualquier restablecimiento de contraseña impuesto por una organización luego de una violación de seguridad, señala el aviso; simplemente inician sesión en la cuenta inactiva o inactiva y siguen las instrucciones para restablecer la contraseña. «Esto ha permitido al actor recuperar el acceso tras las actividades de desalojo en respuesta a incidentes», dice. Del mismo modo, los actores de SVR utilizan servidores proxy residenciales para enmascarar su ubicación y hacer que parezca que el tráfico de su red se origina en una dirección IP cercana. Esto hace que sea más difícil para una organización víctima detectar actividad sospechosa en la red y hace que las defensas de ciberseguridad que utilizan direcciones IP como indicadores de actividad sospechosa sean menos efectivas. «A medida que las defensas a nivel de red mejoran la detección de actividades sospechosas, los actores de SVR han buscado otras formas de permanecer encubiertos en Internet», dice el aviso. Cobertura de seguridad de lectura obligada Los desafíos de proteger las redes en la nube Si bien no se menciona específicamente en el aviso, Lewis dijo que los avances en la inteligencia artificial generativa plantean desafíos adicionales para proteger los entornos en la nube, es decir, que los atacantes están aprovechando la tecnología para diseñar ataques de phishing e ingeniería social más sofisticados. técnicas. También sugirió que muchas organizaciones rebasan la seguridad en la nube porque asumen que es responsabilidad del proveedor de servicios en la nube, cuando en realidad es una responsabilidad compartida. DESCARGAR: Esta política de capacitación y concientización sobre seguridad de TechRepublic Premium “Muchas organizaciones asumen erróneamente que el proveedor de la nube se encargará de todos los aspectos de la seguridad. Sin embargo, aunque el proveedor protege la infraestructura subyacente, el cliente sigue siendo responsable de configurar adecuadamente los recursos, la gestión de identidades y accesos y la seguridad a nivel de aplicaciones”, dijo. “Los líderes empresariales deben tomarse en serio la seguridad en la nube invirtiendo en habilidades, herramientas y procesos adecuados. Deben asegurarse de que los empleados tengan capacitación en seguridad y arquitectura de la nube para evitar configuraciones erróneas básicas. También deberían adoptar el modelo de responsabilidad compartida, para saber exactamente qué es de su competencia”. Consejos del NCSC para mantenerse seguro con respecto al aviso SVR El aviso del NCSC enfatiza la importancia de los fundamentos de la ciberseguridad, que incluyen: Implementación de MFA. Usar contraseñas seguras y únicas para las cuentas. Reducir la duración de las sesiones para tokens y sesiones de usuario. Implementar un principio de privilegio mínimo para las cuentas de sistema y servicio, mediante el cual a cada cuenta se le otorgan solo los niveles mínimos de acceso necesarios para realizar sus funciones. Esto minimiza el daño potencial de las cuentas comprometidas y restringe el nivel de acceso que podrían obtener los atacantes. «Una buena base de los fundamentos de la seguridad cibernética puede negar incluso una amenaza tan sofisticada como el SVR, un actor capaz de llevar a cabo un compromiso de la cadena de suministro global como el compromiso de SolarWinds de 2020», señala el aviso. DESCARGAR: Esta política de seguridad en la nube de TechRepublic Premium Más allá de esto, el aviso sugiere configurar cuentas de servicio canary, es decir, cuentas que parecen legítimas pero que en realidad se utilizan para monitorear actividades sospechosas en la red. Se deben implementar políticas de inscripción sin intervención siempre que sea posible para que solo los dispositivos autorizados puedan agregarse automáticamente a la red, y las organizaciones deben «considerar una variedad de fuentes de información, como eventos de aplicaciones y registros basados en host, para ayudar a prevenir, detectar e investigar posibles ataques maliciosos». comportamiento.» Lewis destacó la importancia de la colaboración para responder al panorama de amenazas en evolución, así como para garantizar que las empresas cuenten con las habilidades, las personas y los procesos adecuados para defenderse contra amenazas nuevas y emergentes. “La colaboración global entre agencias y empresas de ciberseguridad es fundamental para identificar y responder a amenazas sofisticadas. Los atacantes como APT29 piensan globalmente, por lo que los defensores también deben hacerlo”, dijo. “Compartir inteligencia sobre nuevas tácticas permite a las organizaciones de todo el mundo mejorar sus defensas y responder rápidamente. Ninguna agencia o empresa tiene visibilidad completa por sí sola”.
Un informe de noviembre de Google Cloud detalla posibles tácticas de malware de los estados-nación en 2024 y nuevos ángulos de los ciberataques. ¿Cómo será la ciberseguridad en 2024? El Pronóstico de ciberseguridad global de Google Cloud encontró que la IA generativa puede ayudar a los atacantes y defensores e instó al personal de seguridad a estar atento a los ataques respaldados por estados nacionales y más. Entre los contribuyentes al informe se encuentran varios líderes de seguridad de Google Cloud y expertos en seguridad de Mandiant Intelligence, Mandiant Consulting, Chronicle Security Operations, la Oficina del CISO de Google Cloud y VirusTotal. Saltar a: Cómo la IA generativa puede afectar la ciberseguridad en 2024 Los actores de amenazas utilizarán IA generativa y grandes modelos de lenguaje en phishing y otras estafas de ingeniería social, predijo Google Cloud. Debido a que la IA generativa puede crear contenido que suene natural, los empleados pueden tener dificultades para identificar correos electrónicos fraudulentos a través de una mala gramática o llamadas no deseadas a través de voces que suenan robóticas. Los atacantes podrían utilizar IA generativa para crear noticias falsas o contenido falso, advirtió Google Cloud. Más cobertura de seguridad en la nube Los LLM y la IA generativa “se ofrecerán cada vez más en foros clandestinos como un servicio pago y se utilizarán para diversos fines, como campañas de phishing y difusión de desinformación”, escribió Google Cloud. Por otro lado, los defensores pueden utilizar la IA generativa en inteligencia sobre amenazas y análisis de datos. La IA generativa podría permitir a los defensores actuar a mayores velocidades y escalas, incluso cuando digieren grandes cantidades de datos. «La IA ya está brindando una enorme ventaja a nuestros ciberdefensores, permitiéndoles mejorar las capacidades, reducir el trabajo y protegerse mejor contra las amenazas», dijo Phil Venables, director de seguridad de la información de Google Cloud, en un correo electrónico a TechRepublic. Los estados-nación pueden utilizar phishing o malware de limpieza El informe señaló que los actores de los estados-nación pueden lanzar ataques cibernéticos contra el gobierno de EE. UU. a medida que se acercan las elecciones presidenciales de 2024 en EE. UU. El Spear phishing, en particular, puede utilizarse para atacar sistemas electorales, candidatos o votantes. El hacktivismo, o actores de amenazas motivados políticamente y no asociados con un estado-nación en particular, está resurgiendo, dijo Google Cloud. El malware Wiper, que está diseñado para borrar la memoria de una computadora, puede volverse más común. Ha sido visto desplegado por grupos de actores de amenazas rusos que atacan a Ucrania, dijo Google Cloud. La guerra en Ucrania ha demostrado que los atacantes patrocinados por el Estado podrían atacar tecnologías espaciales para perturbar a los adversarios o realizar espionaje. Los grupos de espionaje en 2024 pueden crear “botnets durmientes”, que son botnets colocadas en el Internet de las cosas, en oficinas o en dispositivos al final de su vida útil para escalar temporalmente los ataques. La naturaleza temporal de estas botnets puede hacer que sea particularmente difícil rastrearlas. Los tipos de ciberataques más antiguos siguen siendo amenazas. Algunas de las tendencias destacadas por Google Cloud muestran que los tipos de ciberataques más conocidos todavía deberían estar en el radar de los equipos de seguridad. Las vulnerabilidades de día cero pueden seguir aumentando. Los atacantes de estados-nación y los grupos de actores de amenazas pueden adoptar los días cero porque esas vulnerabilidades les dan a los atacantes acceso persistente a un entorno. Los correos electrónicos de phishing y el malware ahora son relativamente fáciles de detectar para los equipos de seguridad y las soluciones automatizadas, pero las vulnerabilidades de día cero siguen siendo relativamente efectivas, según el informe. La extorsión, otra técnica de ciberataque muy conocida, se estancó en 2022, pero se puede esperar que vuelva a crecer en 2024. Los actores de amenazas hacen publicidad de datos robados y reportan ingresos por extorsión que indican un crecimiento. VER: El malware SecuriDropper puede sortear la configuración restringida de Android 13 para descargar aplicaciones ilegítimas (TechRepublic) Algunas técnicas de amenazas más antiguas se están volviendo lo suficientemente populares como para estar en el radar de Google Cloud. Por ejemplo, recientemente se ha vuelto a ver una técnica anti-máquina virtual de 2012. Y un ataque documentado por primera vez en 2013 que utiliza funciones SystemFunctionXXX no documentadas en lugar de funciones de criptografía en una API de Windows documentada se ha vuelto popular nuevamente. Otras tendencias y predicciones de ciberseguridad en la nube, dispositivos móviles y SecOps El vicepresidente y gerente general de Google Cloud, Sunil Potti, dijo en un correo electrónico a TechRepublic: «En este momento, vemos organizaciones ejecutando sus datos en una combinación de entornos multinube, locales e híbridos, y mientras No es realista esperar que estas organizaciones alojen sus activos únicamente en un solo lugar, lo que hace que las operaciones de seguridad integrales y unificadas y la gestión general de riesgos sean particularmente desafiantes”. En entornos híbridos y multinube, es posible que las empresas deban estar atentas a configuraciones erróneas y problemas de identidad que permitan a los actores de amenazas moverse lateralmente a través de diferentes entornos de nube, dijo Google Cloud. Muchos actores de amenazas, incluidos los actores de amenazas de estados-nación, pueden utilizar servicios sin servidor en 2024. Los servicios sin servidor les brindan mayor escalabilidad, flexibilidad y automatización. Google Cloud ha visto un creciente interés entre los atacantes en los ataques a la cadena de suministro alojados en administradores de paquetes como NPM (Node.js), PyPI (Python) y crates.io (Rust). Es probable que este tipo de ciberataque aumente porque su implementación cuesta poco y puede tener un impacto importante. Es probable que el cibercrimen móvil crezca en 2024 a medida que los estafadores utilicen tácticas de ingeniería social novedosas y probadas para obtener acceso a los teléfonos de sus objetivos, según el informe. Finalmente, Google Cloud predijo que SecOps se consolidará cada vez más en 2024. Esta hoja de ruta se puede utilizar para impulsar estrategias de ciberseguridad y compras al intentar adelantarse a lo que pueda venir en 2024.