Newsletter - 2024-53
Tabla de Contenidos
- Newsletter - 2024-53
- La Operación PowerOFF: Un Golpe a los Servicios de DDoS-por-Encargo
- La importancia de la rotación de secretos en tu estrategia de ciberseguridad
- Nuevo malware iraní ataca infraestructuras críticas en Israel y EE. UU., dirigido a dispositivos IoT y OT
- Exfiltración masiva de credenciales a través de repositorios GitHub trojanizados
- Campaña de phishing que abusa de Google Calendar y Google Drawings para robar credenciales
- APT29 utiliza servidores proxy RDP y ataques MiTM para robar credenciales y datos confidenciales
- CISA insta a altos funcionarios a usar Signal tras ciberataques a operadores de telecomunicaciones
La Operación PowerOFF: Un Golpe a los Servicios de DDoS-por-Encargo
| Categoría | Seguridad de Redes |
|---|---|
| Nombre del tema | La Operación PowerOFF: Un Golpe a los Servicios de DDoS-por-Encargo |
| Brecha | La proliferación de servicios DDoS por encargo utilizados para realizar ataques de denegación de servicio masivos |
| Criticidad | |
| Solución propuesta | Desmantelamiento de infraestructuras criminales, detención de administradores y campañas de disuasión de ataques DDoS |
| Beneficios esperados | Reducción de los ataques DDoS, protección de la infraestructura digital global y mejora de la seguridad de consumidores y empresas durante la temporada alta de compras |
| Fuente | Trip Wire |
En un esfuerzo internacional coordinado, las agencias de aplicación de la ley de 15 países han hecho que la temporada navideña sea un poco menos estresante para empresas y consumidores al tomar el control de algunos de los servicios más populares de ataques DDoS por encargo en Internet.
La Operación PowerOFF ha interrumpido lo que se anticipaba sería un aumento de ataques de denegación de servicio distribuido (DDoS) durante el período navideño, al desconectar más de dos docenas de sitios web de “booter” o “stresser”. Según explica Europol, cada año la temporada festiva es un período de máxima actividad para los ciberdelincuentes que lanzan ataques DDoS, causando pérdidas financieras y daños a la reputación de las organizaciones en un momento tradicional de aumento de las compras en línea, así como caos y miseria para los consumidores.
La acción más reciente de la Operación PowerOFF ha visto la eliminación de 27 sitios web de booter y stresser, incluyendo zdstresser.net, orbitalstress.net, y starkstresser.net. Además, tres presuntos administradores de sitios de DDoS por encargo han sido arrestados en Francia y Alemania, y se han identificado a 300 usuarios de estos servicios.
Los visitantes de los sitios incautados ahora son recibidos con un mensaje de la Operación PowerOFF.
Este sitio web ha sido incautado como parte de la Operación PowerOFF. La Operación PowerOFF es un esfuerzo internacional de las fuerzas del orden centrado en cerrar los servicios de DDoS por encargo, incluidos los booters y stressers. Los ataques DDoS son ilegales. Durante años, las agencias de aplicación de la ley de todo el mundo han incautado bases de datos de booters, arrestado a administradores y recopilado información relacionada con la operación de estos servicios, incluida información sobre los clientes de estos servicios. Cualquier persona que opere o utilice servicios de DDoS está sujeta a investigación, procesamiento y otras acciones de las fuerzas del orden.
Al mismo tiempo que el anuncio de Europol, la policía holandesa informó que habían arrestado a cuatro hombres, de entre 22 y 26 años de edad. Uno de los hombres está acusado de haber realizado más de 4000 ataques DDoS.
Mientras tanto, en los Estados Unidos, se han presentado cargos contra dos hombres asociados con los servicios de DDoS por encargo.
La Operación PowerOFF va más allá del desmantelamiento de la infraestructura utilizada para los ataques. También incluye una campaña proactiva para disuadir a las personas de participar en ataques DDoS. Esta campaña involucra anuncios en línea dirigidos a jóvenes que buscan información sobre sitios de booter y stresser, explicando las consecuencias de participar en ataques DDoS. Además, los usuarios de servicios ilegales de DDoS pueden recibir cartas de advertencia o correos electrónicos, e incluso una visita de los investigadores de las fuerzas del orden.
La Operación PowerOFF es un esfuerzo coordinado en curso entre las agencias de aplicación de la ley internacionales destinado a desmantelar las infraestructuras criminales de DDoS por encargo en todo el mundo. La operación de este año contó con la participación de los siguientes países: Australia, Brasil, Canadá, Finlandia, Francia, Alemania, Japón, Letonia, los Países Bajos, Polonia, Portugal, Rumanía, Suecia, el Reino Unido y los Estados Unidos de América.
Esta no es la primera vez que las agencias de aplicación de la ley toman medidas contra los servicios de DDoS por encargo en el período previo a la Navidad, y sin duda no será la última.
La importancia de este tipo de operaciones radica en la protección de la infraestructura digital global y en la prevención de pérdidas económicas significativas para las empresas, así como en la salvaguardia del bienestar de los consumidores que dependen cada vez más del comercio en línea, especialmente durante las temporadas de mayor actividad comercial como la Navidad. La Operación PowerOFF refleja un compromiso continuo de la comunidad internacional para combatir la ciberdelincuencia y proteger el ciberespacio de actividades ilegales que pueden causar un daño considerable a la sociedad.
En resumen, la Operación PowerOFF no solo ha logrado un golpe significativo contra las redes de DDoS por encargo, sino que también ha establecido un precedente importante en la lucha contra los delitos cibernéticos, demostrando que la cooperación internacional es crucial para abordar amenazas globales que trascienden las fronteras nacionales.
La importancia de la rotación de secretos en tu estrategia de ciberseguridad
| Categoría | Ciberseguridad en la Nube |
|---|---|
| Nombre del tema | La importancia de la rotación de secretos en tu estrategia de ciberseguridad |
| Brecha | La falta de políticas adecuadas de rotación de secretos que protejan las Identidades No Humanas (NHIs) en la nube |
| Criticidad | |
| Solución propuesta | Implementación de prácticas avanzadas de rotación de secretos y automatización del proceso para evitar accesos no autorizados |
| Beneficios esperados | Mejora de la seguridad, cumplimiento normativo, reducción de riesgos de brechas de datos y fortalecimiento de la protección de sistemas en la nube |
| Fuente | Security Boulevard |
En una era donde las brechas de datos son demasiado comunes, garantizar la seguridad de las Identidades No Humanas (NHIs) y la gestión de sus secretos es más importante que nunca. Si no se protegen adecuadamente, estos secretos pueden convertirse en puertas de entrada para que los atacantes cibernéticos exploten vulnerabilidades de seguridad en el entorno de la nube de una organización. Los estudios revelan que una mala gestión de los secretos es una de las mayores preocupaciones de seguridad para las organizaciones hoy en día. Entonces, ¿cómo se puede reforzar la armadura de ciberseguridad? La respuesta está en las prácticas avanzadas de rotación de secretos.
La rotación de secretos se refiere a la práctica de cambiar y actualizar frecuentemente secretos como claves de cifrado, tokens y contraseñas que protegen tus NHIs. La rotación de secretos no es una acción única, sino una práctica continua que juega un papel fundamental en proteger tus NHIs de ser abusadas o explotadas por actores maliciosos.
Las prácticas avanzadas de rotación de secretos van más allá de simplemente cambiar secretos. Una rotación efectiva de secretos implica generar nuevos secretos, reemplazar los antiguos y luego retirar de manera segura los antiguos secretos sin causar interrupciones al sistema. Estas prácticas son estratégicas, organizadas y sistemáticas, empleando herramientas y metodologías sofisticadas para asegurar un entorno de nube seguro.
Cuando se implementan correctamente, las prácticas avanzadas de rotación de secretos pueden ofrecer un alivio significativo a los problemas de seguridad entre las organizaciones. Aquí hay algunas maneras cómo:
- Reducción de riesgos de seguridad: La rotación de secretos minimiza las ventanas de oportunidad para los ciberdelincuentes, ya que los secretos que pueden haber comprometido se vuelven obsoletos más rápido.
- Mejor cumplimiento: La rotación regular de secretos ayuda a cumplir con los requisitos de cumplimiento que exigen el cambio periódico de contraseñas y claves.
- Mayor integridad del sistema: Al negar el acceso prolongado y no autorizado, la rotación de secretos ayuda a mantener la integridad del sistema.
- Rentabilidad: La rotación automatizada de secretos minimiza los costos operativos al reducir el esfuerzo manual y el error.
Si bien la rotación de secretos es crucial, entender cómo integrarla sin problemas en tu marco de seguridad existente es igualmente importante. Una integración exitosa requiere una comprensión integral de la arquitectura de tu sistema, el comportamiento de las NHIs y las sensibilidades de los secretos utilizados. Para lograr esto, las organizaciones pueden aprovechar las estrategias de remediación de NHIs para identificar, priorizar y remediar las NHIs en riesgo.
Además, elegir la automatización sobre la rotación manual de secretos puede ayudar a alcanzar estándares de seguridad más altos. Las soluciones automatizadas son menos propensas a errores humanos y ayudan a mantener la consistencia. También contribuyen a ahorros significativos de tiempo, liberando recursos para otras prioridades de seguridad.
Con las amenazas cibernéticas acechando en cada esquina, las prácticas avanzadas de rotación de secretos ofrecen una solución prometedora para las organizaciones. Al hacer que la rotación de secretos sea una parte rutinaria de su estrategia de ciberseguridad, las organizaciones pueden asegurarse de que sus NHIs estén siempre protegidas. Además, la rotación de secretos puede desempeñar un papel significativo en el cumplimiento de los requisitos de cumplimiento, mejorar la integridad del sistema y reducir los costos operativos.
Cementar esta práctica en tu estrategia de ciberseguridad puede llevar a una mejora general en la salud de seguridad de tu organización. Aliviando las presiones de seguridad, puedes centrarte en fomentar el crecimiento y la innovación, sabiendo que tu defensa cibernética es robusta y confiable.
Recuerda, la rotación avanzada de secretos no es una solución única, sino una práctica de seguridad proactiva y continua. Y aunque el camino puede parecer desafiante, las recompensas de un entorno de nube seguro hacen que valga la pena emprender el viaje. ¿Estás listo para sentir alivio con las prácticas avanzadas de rotación de secretos?
La rotación avanzada de secretos no es un mecanismo simple de enchufar y usar; requiere una comprensión profunda no solo del proceso en sí, sino también de la información traducida por varios secretos y las insignias que proporcionan para las NHIs. Por lo tanto, tu equipo debe tener una comprensión profunda de cómo se producen, codifican y autentican tus secretos.
Con diversos secretos como tokens de autenticación, claves binarias y contraseñas para gestionar, rastrear la gran cantidad de detalles se convierte en una tarea gigantesca si se hace manualmente. Aquí, el proceso de automatización es tu caballero de armadura brillante. Las soluciones automatizadas están diseñadas para prevenir el acceso no autorizado, salvaguardar las NHIs y reducir el riesgo general de brechas de datos.
Una política de rotación de secretos bien definida actúa como la columna vertebral en la coalición entre la rotación avanzada de secretos y tu estrategia de ciberseguridad. Una política exitosa enfatiza una responsabilidad definida para la gestión del ciclo de vida de los secretos, detalla claramente con qué frecuencia se cambiarán los secretos y delinea qué tipo de secretos deben cambiarse. Esta política asegura que haya una guía clara para la gestión continua y un proceso de revisión continuo para medir su efectividad.
La tendencia alarmante de brechas de datos frecuentes no solo ha causado que las organizaciones reconsideren sus estrategias de gestión de secretos, sino también ha llevado a los reguladores a implementar protocolos de ciberseguridad más estrictos. En este contexto, la rotación de secretos juega un papel crítico para ayudar a las organizaciones a cumplir con estas regulaciones en evolución. Por ejemplo, el GDPR, CCPA y SOX requieren que las empresas se adhieran a controles específicos en torno a la protección de datos, incluida la gestión y protección de identidades no humanas.
Si bien la rotación de secretos es un aspecto crucial de la ciberseguridad, es imperativo recordar que es solo un componente de una estrategia mucho más amplia. Equilibrarlo con otros mecanismos como la gestión de NHIs y el análisis predictivo de seguridad ayuda a crear un enfoque de seguridad en capas. Juntos, estos hacen que el entorno de la nube sea más resistente a las amenazas de seguridad.
Nuevo malware iraní ataca infraestructuras críticas en Israel y EE. UU., dirigido a dispositivos IoT y OT
| Categoría | Seguridad IoT |
|---|---|
| Nombre del tema | Malware iraní IOCONTROL dirigido a dispositivos IoT y OT en infraestructuras críticas |
| Brecha | Vulnerabilidades en dispositivos IoT y OT debido a la falta de seguridad en las comunicaciones y control remoto |
| Criticidad | |
| Solución propuesta | Implementación de protocolos de seguridad robustos, segmentación de redes y monitoreo constante para detectar actividades anómalas |
| Beneficios esperados | Mejora de la seguridad en infraestructuras críticas, protección frente a ataques dirigidos a dispositivos IoT y OT, y reducción de riesgos asociados a la manipulación de sistemas de control industrial |
| Fuente | The Hacker News |
Recientemente, un grupo de actores de amenazas afiliados a Irán ha sido vinculado con el desarrollo y propagación de un nuevo malware altamente sofisticado, conocido como IOCONTROL, diseñado para atacar específicamente dispositivos en entornos IoT (Internet de las Cosas) y OT (tecnología operativa). Este malware ha sido identificado y documentado por la empresa de ciberseguridad Claroty, especializada en la protección de sistemas de control industrial. IOCONTROL representa una amenaza significativa, ya que está dirigido a infraestructuras críticas, especialmente aquellas relacionadas con el control y monitoreo de sistemas industriales, como cámaras IP, routers, firewalls, interfaces hombre-máquina (HMI), y controladores lógicos programables (PLC).
El malware ha sido diseñado para aprovechar diversas vulnerabilidades en plataformas basadas en Linux y otras arquitecturas utilizadas en dispositivos IoT y sistemas OT. Aunque Claroty destaca que IOCONTROL parece haber sido diseñado de manera específica por los actores de amenazas, también resalta que su estructura modular le permite funcionar en una variedad de plataformas de diferentes proveedores, lo que lo convierte en una amenaza flexible y difícil de mitigar. Esta característica es una de las razones por las que IOCONTROL se considera tan peligroso, ya que puede adaptarse rápidamente a diferentes entornos y afectar a un gran número de dispositivos.
De acuerdo con los expertos de Claroty, IOCONTROL es el décimo malware conocido que se dirige específicamente a los Sistemas de Control Industrial (ICS), siguiendo el mismo patrón de ataques sofisticados que hemos visto en el pasado con familias de malware como Stuxnet, Havex, Industroyer (también conocido como CrashOverride), Triton (o Trisis), BlackEnergy2, Industroyer2, PIPEDREAM (también conocido como INCONTROLLER), COSMICENERGY, y FrostyGoop (también conocido como BUSTLEBERM). Estos ataques a menudo tienen como objetivo interrumpir o manipular las operaciones de infraestructuras críticas, con potenciales consecuencias devastadoras para la seguridad pública y la estabilidad de los servicios básicos.
El malware IOCONTROL fue inicialmente documentado por la empresa QiAnXin XLab, que lo bautizó como OrpaCrab, describiéndolo como un “troyano de puerta trasera simple para sistemas Linux”. Este troyano permite a los atacantes ejecutar comandos arbitrarios y obtener resultados de salida en el dispositivo comprometido. La primera detección del malware por parte de QiAnXin se realizó en febrero de 2024. El hallazgo fue crucial, ya que permitió que se identificara la amenaza antes de que pudiera extenderse ampliamente, aunque la propagación de IOCONTROL ya estaba en marcha.
Una de las primeras víctimas del malware fue el sistema de gestión de combustible Gasboy, que había sido comprometido previamente por un grupo de hackers conocido como Cyber Av3ngers. Este grupo de amenazas ha estado involucrado en ataques dirigidos a PLC Unitronics, específicamente para vulnerar sistemas de control de agua en diversas industrias. El malware fue insertado dentro del Terminal de Pago Gasboy, también conocido como OrPT, lo que le otorgó a los atacantes la capacidad no solo de interrumpir los servicios de combustible, sino también de potencialmente robar información sensible de las tarjetas de crédito de los clientes que utilizaban el sistema para sus pagos.
Lo que hace a IOCONTROL especialmente peligroso es su capacidad para operar en dispositivos y plataformas de misión crítica, donde la seguridad es vital para el funcionamiento continuo de servicios fundamentales. El malware emplea un enfoque sigiloso, utilizando el protocolo MQTT, ampliamente utilizado en dispositivos IoT, para la transmisión de datos maliciosos. Este protocolo de mensajería es conocido por ser ligero y eficiente, lo que lo convierte en un blanco atractivo para los actores maliciosos que buscan ocultar el tráfico malicioso y evadir los sistemas de detección tradicionales. Al utilizar MQTT, los atacantes pueden disfrazar su tráfico de control, lo que dificulta la detección del malware por parte de las defensas tradicionales.
Además, los dominios de comando y control (C2) de IOCONTROL están resueltos mediante el servicio de DNS sobre HTTPS (DoH) de Cloudflare, lo que agrega una capa adicional de evasión al utilizar técnicas que ya han sido adoptadas por actores de amenazas de estados-nación, como los grupos cibernéticos de China y Rusia. Este método permite a los atacantes enviar solicitudes DNS en texto claro sin ser detectados por los sistemas de seguridad que monitorizan el tráfico de red, lo que facilita la conexión remota con los dispositivos comprometidos sin ser rastreados por los administradores de red.
Una vez que el malware establece una conexión exitosa con el servidor C2, comienza a recopilar información del dispositivo infectado. Esta información incluye datos sensibles como el nombre de host, el usuario actual, el modelo y nombre del dispositivo, la versión del firmware, la zona horaria y la ubicación. Una vez recopilada esta información, el malware espera nuevas órdenes de los atacantes, que incluyen la ejecución de comandos arbitrarios en el sistema comprometido. Estos comandos pueden incluir la ejecución de código, la eliminación del malware, el escaneo de puertos o el escaneo de un rango de direcciones IP, lo que permite a los atacantes moverse lateralmente a otros dispositivos dentro de la red comprometida.
Una de las características más alarmantes de IOCONTROL es su capacidad para funcionar como una puerta trasera persistente. Cuando el malware se instala en un dispositivo, crea un mecanismo que garantiza su ejecución cada vez que el dispositivo se reinicia, lo que lo convierte en una amenaza a largo plazo para las organizaciones afectadas. Esta persistencia permite a los atacantes mantener el control sobre los dispositivos comprometidos durante períodos prolongados, lo que les da la oportunidad de ejecutar ataques más sofisticados o de extraer datos de manera continua sin ser detectados.
En resumen, IOCONTROL es una amenaza sofisticada que resalta las vulnerabilidades en los sistemas industriales y en los dispositivos IoT, que a menudo son pasados por alto en las estrategias de seguridad. Este malware demuestra la capacidad de los actores de amenazas patrocinados por estados-nación para apuntar a infraestructuras críticas, lo que subraya la importancia de fortalecer la seguridad en las redes de control industrial y en los dispositivos IoT. Las organizaciones deben tomar medidas inmediatas para proteger estos sistemas, implementando controles de seguridad avanzados, segmentación de redes y monitoreo constante para detectar actividades anómalas y mitigar los riesgos asociados a estas amenazas.
Exfiltración masiva de credenciales a través de repositorios GitHub trojanizados
| Categoría | Seguridad en Aplicaciones |
|---|---|
| Nombre del tema | Exfiltración masiva de credenciales a través de repositorios GitHub trojanizados |
| Brecha | Publicación de repositorios maliciosos en GitHub que contenían código para robar credenciales y datos sensibles |
| Criticidad | |
| Solución propuesta | Vigilancia y validación exhaustiva de repositorios de código abierto, uso de herramientas de seguridad para la detección de código malicioso |
| Beneficios esperados | Reducción del riesgo de exfiltración de datos sensibles, mejora de la seguridad en plataformas de código abierto y aumento de la conciencia sobre los vectores de ataque en repositorios |
| Fuente | The Hacker News |
Una nueva campaña de ciberamenaza, atribuido al actor de amenazas MUT-1244, ha provocado la exfiltración de más de 390,000 credenciales de usuarios a través de repositorios trojanizados en GitHub, inicialmente promovidos como herramientas legítimas para la gestión de WordPress. El repositorio, que fue retirado de GitHub, se denominaba “Yet Another WordPress Poster” (yawpp) y contenía dos scripts aparentemente inocuos para la validación de credenciales de WordPress y la creación de publicaciones mediante la API XML-RPC. Sin embargo, dentro del código de estos repositorios se encontraba una dependencia maliciosa oculta que, a través de un paquete npm conocido como @0xengine/xmlrpc, distribuía malware a los sistemas de los usuarios que lo descargaban.
El malware incluido en esta dependencia fue diseñado para robar datos sensibles, como claves privadas SSH, credenciales de AWS, y variables de entorno, que luego eran exfiltrados a una cuenta de Dropbox controlada por los atacantes. Este ataque se ha dirigido principalmente a profesionales de la seguridad, como pentesters, investigadores de seguridad y actores maliciosos, a quienes se les robaron credenciales de acceso que fueron obtenidas de manera ilícita. Los investigadores de Datadog, que han estado analizando esta campaña, sugieren que los atacantes se centraron especialmente en los investigadores de seguridad debido a la información valiosa que estos pueden tener sobre fallos de seguridad no divulgados.
La campaña MUT-1244 emplea una táctica que se ha convertido en tendencia en los últimos años, donde los atacantes crean perfiles falsos en GitHub y publican repositorios que afirman contener PoCs (pruebas de concepto) para vulnerabilidades conocidas, pero que en realidad están diseñados para robar información sensible de los sistemas que interactúan con ellos. La utilización de estos repositorios maliciosos forma parte de una campaña más amplia que también incluye el uso de phishing para entregar payloads de segunda etapa que instalan mineros de criptomonedas o roban más datos de los sistemas infectados.
Uno de los métodos de distribución más comunes en esta campaña es el envío de correos electrónicos de phishing a académicos y otros profesionales, incitándolos a ejecutar un comando en el terminal de sus sistemas, que supuestamente actualizaría su núcleo. Este ataque es el primero documentado de tipo ClickFix dirigido a sistemas Linux, y destaca por su sofisticación y el engaño utilizado para comprometer los dispositivos.
La exfiltración de credenciales no solo se limita a WordPress, sino que también afecta a una variedad de sistemas de gestión y autenticación, como AWS y otras plataformas basadas en SSH. En muchos casos, la información robada incluye las historias de comandos ejecutadas en los sistemas comprometidos, lo que ofrece a los atacantes acceso a información crítica adicional.
Los investigadores de seguridad han señalado que, aunque la herramienta yawpp fue retirada rápidamente de GitHub, su impacto ya era significativo, habiendo comprometido a decenas de víctimas, principalmente red teamers, investigadores de seguridad y personas interesadas en descargar código de PoC. Este caso subraya la importancia de verificar cuidadosamente los repositorios de código de código abierto antes de interactuar con ellos, especialmente cuando provienen de perfiles no verificados o de dudosa procedencia.
Además de la exfiltración de datos sensibles, los atacantes utilizaron múltiples vectores de acceso para distribuir el malware, incluyendo:
- Archivos de compilación de configuración con puertas traseras.
- Archivos PDF con payloads maliciosos.
- Un dropper en Python.
- Paquetes maliciosos npm como “0xengine/meow”.
Este tipo de ataques resalta la creciente sofisticación de los actores de amenazas, que no solo buscan aprovechar vulnerabilidades conocidas, sino que también se aprovechan de la confianza depositada en plataformas como GitHub y los sistemas de código abierto. Es un recordatorio de que incluso las herramientas que parecen ser legítimas pueden esconder amenazas graves.
Campaña de phishing que abusa de Google Calendar y Google Drawings para robar credenciales
| Categoría | Seguridad en la Nube |
|---|---|
| Nombre del tema | Campaña de phishing que explota Google Calendar y Google Drawings para robar credenciales |
| Brecha | Uso de herramientas legítimas de Google para enviar invitaciones de phishing que roban credenciales |
| Criticidad | |
| Solución propuesta | Activación de protecciones en Google Workspace, formación de usuarios sobre los riesgos de los enlaces desconocidos |
| Beneficios esperados | Reducción del riesgo de comprometer credenciales, mayor concienciación en la detección de intentos de phishing |
| Fuente | Bleeping Computer |
Una campaña de phishing en curso está utilizando Google Calendar y Google Drawings para robar credenciales de acceso mientras elude los filtros de spam. Según los informes de Check Point, que ha estado monitoreando este ataque, los actores de amenazas han dirigido sus esfuerzos a más de 300 marcas enviando más de 4,000 correos electrónicos en un periodo de cuatro semanas. Las víctimas del ataque pertenecen a diversos sectores, como instituciones educativas, servicios de salud, empresas de construcción y entidades bancarias.
El ataque comienza con el uso de Google Calendar para enviar invitaciones a reuniones que parecen completamente inofensivas, especialmente si los destinatarios reconocen a algunos de los invitados. Dentro de estas invitaciones, se incluye un enlace que lleva a una página de Google Forms o Google Drawings, donde los usuarios son incitados a hacer clic en otro enlace, generalmente disfrazado como un botón de reCaptcha o de soporte. Esta táctica está diseñada para engañar a los usuarios, haciéndoles creer que están interactuando con servicios legítimos de Google.
La clave del éxito de este ataque radica en el uso de Google Calendar como plataforma para enviar las invitaciones. Al provenir de un servicio legítimo de Google, los correos electrónicos evaden fácilmente los filtros de spam, ya que los encabezados del mensaje parecen completamente auténticos y no se distinguen de las invitaciones enviadas por usuarios normales de Google Calendar. Según los investigadores, los correos electrónicos pasan las comprobaciones de DKIM, SPF y DMARC, lo que permite que las invitaciones de phishing lleguen a las bandejas de entrada de los destinatarios sin ser detectadas como spam.
Un aspecto adicional que incrementa la efectividad del ataque es que los actores de amenazas pueden cancelar el evento de Google Calendar y enviar un mensaje a los asistentes, lo cual también puede incluir otro enlace malicioso, como un enlace a Google Drawings, para redirigir aún más a los usuarios hacia las páginas de phishing. Este método de doble ataque, utilizando tanto Google Calendar como Google Drawings, aumenta las posibilidades de que los usuarios caigan en el engaño, ya que parecen interacciones legítimas con herramientas conocidas de Google.
Aunque el uso de Google Calendar para phishing no es algo nuevo, Google ya ha implementado ciertas protecciones para permitir que los usuarios bloqueen más fácilmente este tipo de invitaciones. Sin embargo, estas protecciones solo estarán activas si el administrador de Google Workspace habilita las opciones de seguridad pertinentes. Si estas medidas no están activadas, los usuarios seguirán recibiendo invitaciones automáticamente en sus calendarios, lo que aumenta la probabilidad de que caigan en el ataque.
Los investigadores de Check Point advierten que los usuarios deben ser especialmente cautelosos con todas las invitaciones a reuniones que reciban, especialmente si incluyen enlaces que les piden hacer clic. Se recomienda ignorar estos enlaces a menos que se pueda verificar que el remitente es confiable o haya sido confirmado previamente.
APT29 utiliza servidores proxy RDP y ataques MiTM para robar credenciales y datos confidenciales
| Categoría | Seguridad de Redes |
|---|---|
| Nombre del tema | APT29 utiliza servidores RDP proxy para ataques Man-in-the-Middle |
| Brecha | Falta de controles de acceso y monitoreo en conexiones RDP, lo que permite interceptaciones de sesiones remotas |
| Criticidad | |
| Solución propuesta | Implementar autenticación multifactor (MFA), monitoreo avanzado de conexiones RDP y segmentación de red |
| Beneficios esperados | Mitigación del robo de credenciales, mayor seguridad en conexiones remotas y prevención de accesos no autorizados |
| Fuente | Bleeping Computer |
El grupo de hackers APT29 (también conocido como “Midnight Blizzard”), identificado como uno de los actores de amenazas más sofisticados asociados a Rusia, está utilizando una red de 193 servidores proxy de Protocolo de Escritorio Remoto (RDP) para realizar ataques de tipo Man-in-the-Middle (MiTM). Estos ataques tienen como objetivo robar credenciales, exfiltrar datos sensibles y desplegar cargas maliciosas en los entornos comprometidos. Según Trend Micro, que rastrea a este grupo como ‘Earth Koshchei’, los ataques están dirigidos a sectores clave como organizaciones gubernamentales y militares, entidades diplomáticas, proveedores de servicios en la nube, empresas de telecomunicaciones y de ciberseguridad.
Los investigadores han identificado que los atacantes utilizan la herramienta PyRDP, originalmente diseñada para simulaciones de ataque de equipos rojos, para interceptar comunicaciones entre víctimas y servidores RDP. PyRDP permite a los atacantes registrar credenciales en texto plano o hashes NTLM, extraer datos del portapapeles, manipular archivos, acceder a unidades compartidas y ejecutar comandos en las máquinas comprometidas, incluidas herramientas como PowerShell.
La campaña, detectada en octubre de 2024, también aprovecha técnicas de ingeniería social mediante correos electrónicos de phishing que engañan a las víctimas para que ejecuten archivos maliciosos. Estos archivos redirigen las conexiones RDP a servidores controlados por los atacantes. Una vez establecida la conexión, los recursos locales, como discos, impresoras y redes, se comparten con los atacantes, dándoles acceso a información sensible.
Además de interceptar sesiones, APT29 emplea herramientas avanzadas para ocultar su infraestructura. Entre estas técnicas se encuentran el uso de productos VPN comerciales que aceptan pagos en criptomonedas, nodos de salida de la red TOR y servicios de proxy residencial. Estas tácticas les permiten ofuscar las direcciones IP de sus servidores y dificultar su rastreo.
Para protegerse, Trend Micro recomienda a los usuarios y organizaciones tomar medidas específicas:
- Evitar conexiones RDP enviadas por correos electrónicos desconocidos y realizar conexiones únicamente a servidores RDP confiables.
- Implementar herramientas de seguridad que monitoricen y analicen actividades sospechosas relacionadas con RDP.
- Asegurar que las configuraciones de RDP incluyan autenticación en dos pasos y restricciones en las conexiones remotas.
- Utilizar software actualizado y protegido contra vulnerabilidades conocidas.
Los dominios utilizados por los atacantes en esta campaña sugieren que los objetivos principales se encuentran en países como Estados Unidos, Francia, Australia, Ucrania, Portugal, Alemania, Israel, Grecia, Turquía y los Países Bajos. Este enfoque geográfico refuerza la teoría de que el objetivo principal de APT29 es la recopilación de inteligencia estratégica.
En términos generales, la campaña evidencia el alto grado de sofisticación de APT29, destacando su capacidad para explotar herramientas legítimas como PyRDP para realizar ataques dirigidos. Este tipo de amenazas subraya la necesidad urgente de reforzar la seguridad en conexiones RDP, implementar controles estrictos de acceso remoto y educar a los usuarios sobre los riesgos asociados a correos electrónicos de phishing.
CISA insta a altos funcionarios a usar Signal tras ciberataques a operadores de telecomunicaciones
| Categoría | Cumplimiento |
|---|---|
| Nombre del tema | Mitigación de ataques mediante estándares de seguridad RDP |
| Brecha | Ausencia de configuración segura y cumplimiento normativo en el uso de RDP |
| Criticidad | |
| Solución propuesta | Actualizar políticas organizativas para incluir configuraciones seguras de RDP y auditorías regulares |
| Beneficios esperados | Alineación con marcos de cumplimiento, mejora de la resiliencia operativa y reducción de la exposición a amenazas |
| Fuente | Bleeping Computer |
La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha emitido una advertencia urgente recomendando a altos funcionarios gubernamentales y políticos el uso de aplicaciones de mensajería con cifrado de extremo a extremo, como Signal, tras una serie de ciberataques a operadores de telecomunicaciones en varios países. Estos ataques, atribuidos al grupo de amenazas respaldado por China conocido como Salt Typhoon (también identificado como Ghost Emperor, Earth Estries y UNC2286), comprometieron durante meses a importantes empresas de telecomunicaciones como T-Mobile, AT&T, Verizon y Lumen Technologies.
Salt Typhoon ha estado activo desde al menos 2019, centrando sus esfuerzos en empresas de telecomunicaciones y entidades gubernamentales de Estados Unidos y el sudeste asiático. Según CISA y el FBI, los ciberatacantes lograron infiltrarse en los sistemas de estas organizaciones, obteniendo acceso prolongado y sin detección. Aunque los detalles sobre el inicio de los ataques siguen siendo inciertos, la magnitud de la brecha sugiere un nivel avanzado de preparación y sofisticación.
En respuesta, CISA ha proporcionado una serie de medidas de seguridad para minimizar el riesgo de intercepción y manipulación de las comunicaciones móviles. Estas medidas incluyen:
- Uso de aplicaciones de mensajería cifradas como Signal: CISA recomienda esta herramienta debido a su capacidad de ofrecer cifrado de extremo a extremo y compatibilidad multiplataforma. La agencia subraya que Signal protege la confidencialidad de las comunicaciones incluso en caso de compromisos a nivel de operador.
- Implementación de autenticación multifactor (MFA) resistente al phishing: Se sugiere emplear claves de seguridad basadas en hardware, como Yubico o Google Titan, para proteger cuentas en servicios críticos como Microsoft, Apple y Google.
- Evitar la autenticación basada en SMS: CISA advierte sobre la vulnerabilidad de los mensajes de texto frente a ataques como la suplantación de SIM (SIM swapping) y recomienda el uso de gestores de contraseñas para asegurar credenciales.
- Configurar PIN o códigos de acceso en cuentas de telecomunicaciones: Esto puede prevenir intentos no autorizados de portar números de teléfono o manipular configuraciones de cuentas móviles.
- Actualizar regularmente el software y hardware: La agencia enfatiza la importancia de utilizar dispositivos modernos que soporten las últimas características de seguridad, además de evitar el uso de VPNs comerciales que puedan incrementar la superficie de ataque.
Estas recomendaciones están dirigidas principalmente a individuos altamente objetivo, como líderes gubernamentales y políticos, quienes poseen información de interés para los atacantes. Sin embargo, CISA también alienta al público general a adoptar prácticas similares para protegerse ante posibles vulneraciones.
Los ciberataques atribuidos a Salt Typhoon destacan la vulnerabilidad inherente de las redes de telecomunicaciones, especialmente cuando se combinan con herramientas avanzadas de espionaje cibernético. Según informes recientes, los atacantes no solo interceptaron comunicaciones, sino que también buscaron manipularlas, comprometiendo la confianza en los servicios de telecomunicaciones.
Además de estas recomendaciones, CISA y el FBI han publicado guías específicas para que los administradores y técnicos de telecomunicaciones fortalezcan sus sistemas frente a los métodos utilizados por Salt Typhoon. Las guías incluyen medidas como la implementación de controles de acceso más estrictos, segmentación de redes y auditorías regulares para identificar posibles vulnerabilidades antes de que sean explotadas.
La adopción de herramientas como Signal no solo representa un paso hacia la protección de información crítica, sino que también destaca la importancia de las soluciones modernas de cifrado para enfrentar las crecientes amenazas cibernéticas. En un entorno donde los atacantes están cada vez más organizados y tecnológicamente avanzados, el enfoque de seguridad debe centrarse en la prevención proactiva y la mejora continua de las capacidades defensivas.