El gobierno de EE. UU. Advierte sobre ciberataques dirigidos a servicios en la nube


Estos ataques suelen producirse cuando los empleados trabajan de forma remota y utilizan una combinación de dispositivos personales y empresariales para acceder a los servicios en la nube.

securityistock000074977085leowolfert.jpg

Imagen: Leo Wolfert

Se advierte a las organizaciones con trabajadores remotos que utilizan servicios basados ​​en la nube sobre varios ciberataques exitosos recientes contra esos servicios.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

En un aviso emitido el miércoles, CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad) reveló que los piratas informáticos han estado empleando campañas de phishing exitosas, intentos de inicio de sesión por fuerza bruta y posibles ataques de pasar las cookies para aprovechar las debilidades en las prácticas de seguridad en la nube. En un ataque de pasar las cookies, los piratas informáticos roban las cookies de la sesión de navegación de un usuario para que luego puedan acceder a un determinado sitio como víctima.

Según el análisis de CISA, este tipo de ataques a menudo ocurren cuando los empleados de una organización trabajan de forma remota y utilizan una combinación de máquinas corporativas y dispositivos personales para iniciar sesión en diferentes servicios en la nube. Aunque las organizaciones y los usuarios pueden estar protegidos por la seguridad adecuada, los hábitos de higiene cibernética débiles allanan el camino para que los piratas informáticos realicen ciberataques exitosos.

VER: Los 5 principales protocolos de seguridad de higiene de contraseñas que las empresas deben seguir (TechRepublic)

En las campañas de phishing observadas, los atacantes desplegaron correos electrónicos con enlaces maliciosos para intentar capturar las credenciales de inicio de sesión para las cuentas de servicios en la nube. Los correos electrónicos parecían provenir de un servicio de alojamiento de archivos legítimo, mientras que los enlaces parecían apuntar a mensajes seguros, todo en un intento de engañar al usuario. Luego, los atacantes pudieron usar las cuentas comprometidas para enviar correos electrónicos de phishing a otros empleados dentro de la organización objetivo.

Débiles hábitos de higiene cibernética

El aviso citó algunos de los débiles hábitos de higiene cibernética que dejan a las organizaciones más vulnerables a los ataques. En un caso, una organización no solicitó una VPN para acceder a su crimson. Aunque el servidor de terminal estaba ubicado dentro del firewall, se configuró con el puerto 80 abierto para permitir conexiones remotas de los empleados. Como resultado, el pirata informático pudo aprovechar esta falla lanzando ataques de fuerza bruta.

En el lado positivo, muchos de los intentos de fuerza bruta fallaron por dos razones. Los atacantes no pudieron encontrar las credenciales correctas de nombre de usuario y contraseña, y las organizaciones utilizaron la autenticación multifactor (MFA) para controlar el acceso a su entorno de nube.

VER: Política de protección contra robo de identidad (TechRepublic Premium)

Sin embargo, al menos un atacante pudo comprometer la cuenta de un usuario incluso con el uso adecuado de MFA. CISA dijo que cree que este atacante pudo haber usado cookies del navegador para frustrar el MFA a través de un ataque de pasar la cookie.

En varios otros casos, los trabajadores remotos configuran reglas de reenvío de correo electrónico para reenviar automáticamente los correos electrónicos del trabajo a sus cuentas personales. Al explotar estas reglas, los atacantes pudieron robar información confidencial. En un caso específico, los atacantes encontraron una regla existente que reenvía correos electrónicos de trabajo a la cuenta particular del receptor y la modificaron para redirigir los correos electrónicos a su propia cuenta.

Más allá de cambiar las reglas de correo electrónico existentes, los piratas informáticos idearon nuevas reglas que reenviaban mensajes específicos a las fuentes RSS de los destinatarios o la carpeta de suscripciones RSS como una forma de evitar que aparezcan alertas de phishing.

Recomendaciones

Para protegerse a sí mismo, a su organización y a sus trabajadores remotos contra este tipo de ataques, CISA ofreció una serie de recomendaciones, algunas de las cuales son:

  • Implementar políticas de acceso condicional (CA) según las necesidades de su organización.
  • Establezca una línea de base para la actividad usual de la purple dentro de su entorno.
  • Revise periódicamente los registros de inicio de sesión de Energetic Directory y los registros de auditoría unificados para detectar actividad anómala.
  • Aplique la autenticación multifactor.
  • Revise periódicamente las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío. Considere restringir a los usuarios para que no reenvíen correos electrónicos a cuentas fuera de su dominio.
  • Centrarse en la sensibilización y la formación. Informe a los empleados sobre las amenazas, como las estafas de phishing, y cómo se entregan.
  • Establezca informes de empleados libres de culpa y asegúrese de que los empleados sepan a quién contactar cuando vean una actividad sospechosa o cuando crean que han sido víctimas de un ciberataque.
  • Considere una política que no permita a los empleados usar dispositivos personales para trabajar. Como mínimo, utilice una solución de administración de dispositivos móviles confiable.
  • Disponga de un system o procedimientos de mitigación. Comprenda cuándo, cómo y por qué restablecer las contraseñas y revocar los tokens de sesión.
  • Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos abiertos de Protocolo de escritorio remoto (RDP). Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Además, las organizaciones que usan Microsoft 365 deben considerar los siguientes pasos:

  1. Asigne algunos usuarios de confianza como administradores de descubrimiento electrónico (o eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de Microsoft 365 en busca de evidencia de actividad maliciosa.
  2. Deshabilite la comunicación remota de PowerShell a Trade Online para los usuarios habituales de Microsoft 365 para reducir el riesgo de que una cuenta comprometida se utilice para acceder a las configuraciones de inquilinos para el reconocimiento.
  3. No permita una cantidad ilimitada de intentos de inicio de sesión fallidos. Examinar configuración de bloqueo inteligente de contraseña y informes de actividad de inicio de sesión.
  4. Para investigar y auditar intrusiones y posibles infracciones, considere herramientas como Gorrión o Halcón, que son herramientas de código abierto basadas en PowerShell que se utilizan para recopilar información relacionada con Microsoft 365.

«La gestión de la higiene de la TI y la mejora de la conciencia contra el phishing continúan siendo temas que se critican cuando se habla de ciberataques exitosos, pero es de very important importancia reconocer que la perfección en ambos casos es una tontería, por lo que la recomendación de CISA para una sólida capacidad de detección y respuesta es puntual «, dijo a TechRepublic Tim Wade, director técnico del equipo de CTO de Vectra.

«Ya sea frente a debilidades conocidas relacionadas con la higiene de TI o debilidades desconocidas, la capacidad de una organización para concentrarse rápidamente en un riesgo activo y luego tomar las medidas adecuadas para reducir el impacto es la diferencia entre un equipo de operaciones de seguridad exitoso y una organización que encuentra su nombre en un titular sobre ciberataques «, dijo Wade.

Con ese fin, Wade ofrece los siguientes consejos de ciberseguridad:

  • A pesar de las recomendaciones de CISA para habilitar la autenticación multifactor para todos los usuarios sin excepción, se observó que la omisión de MFA era parte de este ataque. Es importante que las organizaciones reconozcan la importancia de MFA incluso cuando se den cuenta de que no es una solución milagrosa.
  • El uso malintencionado del descubrimiento electrónico (eDiscovery) sigue destacando como una técnica empleada por los actores de amenazas, y las organizaciones deben estar preparadas para identificar cuándo se abusa de las herramientas de eDiscovery.
  • El reenvío de correo, por very simple que parezca, sigue evadiendo a los equipos de seguridad como método de extracción y recolección.
  • En un nivel práctico, la guía para establecer una línea de foundation de las redes tradicionales de TI y nube de una organización no es factible en la práctica sin el uso de técnicas de inteligencia artificial (IA) y aprendizaje automático (ML).

Ver también



Enlace a la noticia unique