Después de adoptar señuelos COVID-19, grupos sofisticados …



Si bien los correos electrónicos y los archivos con temática de coronavirus se han utilizado como señuelo durante semanas, los atacantes ahora están buscando formas de atacar activamente las VPN y los trabajadores remotos para aprovechar la seguridad más débil.

Desde febrero, una variedad de ciberdelincuentes avanzados han adoptado temas en torno a la evolución de la pandemia de coronavirus en un intento por convencer a los usuarios específicos de que hagan clic en enlaces de phishing o instalen malware. Ahora los atacantes están intentando aprovechar activamente la infraestructura susceptible expuesta por la gran cantidad de empleados que trabajan desde el hogar, advirtieron esta semana expertos en seguridad y agencias gubernamentales.

En un solo período de 24 horas, Microsoft detectó una campaña masiva de phishing utilizando 2.300 páginas world wide web diferentes adjuntas a mensajes y disfrazada como información de compensación financiera COVID-19 que en realidad conduce a una página de inicio de sesión falsa de Business office 365 para capturar credenciales, afirmó la compañía en una publicación de blog publicada hoy. Los ciberdelincuentes también están discutiendo activamente las plataformas de colaboración, las redes privadas virtuales (VPN) y los sistemas utilizados actualmente por las empresas para el trabajo remoto, afirmó IntSights en un aviso publicado el martes.

«El mayor cambio no es el tipo de ataques sino la situación en la que la mayoría de la fuerza laboral trabaja desde casa», dice Etay Maor, director de seguridad de IntSights. «Los trabajadores están cometiendo algunos errores básicos de higiene y seguridad, y los actores de la amenaza han sido conscientes de esto: estos temas se discuten constantemente y los delincuentes son muy ágiles para adaptarse a nuevas situaciones».

Los temas de coronavirus se han convertido en el enfoque preferido por muchos ciberdelincuentes para engañar a los usuarios para que sean víctimas de los últimos ataques, y los grupos avanzados a menudo también usan el enfoque. Los grupos de ciberespionaje chinos, rusos y norcoreanos han adoptado señuelos temáticos de pandemia para ataques de phishing y esfuerzos dirigidos. Ahora el grupo ciberdelincuente Maze, el APT36 vinculado a Pakistán y el grupo FIN7 centrado en las finanzas también han adoptado las técnicas.

Un aviso conjunto emitido hoy por las agencias de defensa cibernética de EE. UU. Y el Reino Unido advirtió que la actividad de los grupos avanzados de amenazas persistentes (APT) ha aumentado significativamente.

«Los grupos APT están utilizando la pandemia COVID-19 como parte de sus operaciones cibernéticas». el aviso declarado. «Estos actores de amenazas cibernéticas a menudo se disfrazan como entidades de confianza. Su actividad incluye el uso de mensajes de phishing con temática de coronavirus o aplicaciones maliciosas, a menudo enmascarados como entidades de confianza que pueden haber sido comprometidas previamente. Sus objetivos y objetivos son consistentes con prioridades de larga details como operaciones de espionaje y &#39pirateo&#39.

El volumen general de ataques no está necesariamente creciendo, pero varios grupos están cambiando a los temas de COVID-19 para convencer a los usuarios finales interesados ​​de que hagan clic en enlaces, instalen malware o caigan en fraude, dijo Rob Lefferts, vicepresidente corporativo de Seguridad de Microsoft 365, en una entrada de web site hoy. Sin embargo, estos ataques representan menos del 2% de todos los ataques vistos por Microsoft a diario, afirmó.

«Los atacantes de repente no tienen más recursos que están desviando para engañar a los usuarios en cambio, están cambiando su infraestructura existente, como ransomware, phishing y otras herramientas de entrega de malware, para incluir palabras clave COVID-19 que nos hacen hacer clic». Lefferts escribió, agregando que «el volumen normal de amenazas no está aumentando, pero los atacantes están cambiando sus técnicas para capitalizar el miedo».

De unique preocupación para los equipos de seguridad y las agencias nacionales de seguridad cibernética es el movimiento masivo al trabajo remoto. La Agencia de Seguridad de Infraestructura Cibernética (CISA), por ejemplo, ha visto un aumento en el análisis de vulnerabilidades en los productos de controlador de entrega de aplicaciones y puerta de enlace de Citrix.

«Muchas organizaciones han desplegado rápidamente nuevas redes, incluidas las VPN y la infraestructura de TI relacionada, para cambiar toda su fuerza laboral al teletrabajo», dijo CISA en su aviso. «Los ciber actores maliciosos se están aprovechando de este movimiento masivo al teletrabajo explotando una variedad de vulnerabilidades conocidas públicamente en VPN y otras herramientas y computer software de trabajo remoto».

En marzo, la firma de seguridad Malwarebytes investigación publicada demostrando que el APT36 vinculado a Pakistán había comenzado a usar temas COVID-19 para ataques de phishing y de pozos de agua. El grupo, que realiza el ciberespionaje contra objetivos políticos y diplomáticos de la India, intentó falsificar documentos de asesoramiento de salud para lanzar una herramienta de acceso remoto conocida como CrimsonRAT.

Los objetivos actuales continúan «basados ​​en los intentos y motivaciones de los actores de amenazas y generalmente están alineados con sus campañas pasadas», declaró el Equipo de Inteligencia de Amenazas de Malwarebytes en respuesta a las preguntas de Dark Looking through. «Por ejemplo, Kimsuky es un grupo conocido por apuntar a los usuarios de Corea del Sur y esto es visible en su campaña COVID-19 personalizada para este grupo demográfico en specific».

Microsoft ha adoptado un enfoque proactivo para encontrar redes vulnerables que podrían ser objetivo de grupos de estado-nación y cibercriminales, especialmente aquellos que pertenecen a empresas de atención médica, y ayudarlos a cerrar las brechas.

en un Site publicada a principios de abril, la compañía dijo que los grupos cibercriminales sofisticados se habían dirigido a varias docenas de hospitales, por lo que Microsoft identificó aquellas organizaciones que tenían dispositivos vulnerables de puerta de enlace y VPN en su infraestructura.

«Para ayudar a estos hospitales, muchos ya inundados de pacientes, enviamos una … notificación dirigida con información importante sobre las vulnerabilidades, cómo los atacantes pueden aprovecharlos y una fuerte recomendación para aplicar actualizaciones de seguridad que los protegerán de los ataques». de estas vulnerabilidades particulares y otras «, declaró Microsoft.

Contenido relacionado:

Revisa El borde, La nueva sección de Dark Studying para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «5 productos de seguridad relajantes que deseamos que existan«.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dim Studying, MIT&#39s Know-how Critique, Well known Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más suggestions





Enlace a la noticia authentic