Los ataques a VPN aumentaron en el primer trimestre



Pero el volumen de malware, botnet y otras actividades de explotación disminuyó debido a la eliminación de la botnet Emotet.

Los ataques contra productos de redes privadas virtuales (VPN) de Fortinet y Pulse Protected aumentaron drásticamente en el primer trimestre de 2021 cuando los actores de amenazas intentaron aprovechar las vulnerabilidades previamente reveladas que las organizaciones no habían parcheado.

Los datos de registro recopilados por Nuspire de miles de dispositivos en las ubicaciones de los clientes muestran que los ataques contra SSL-VPN de Fortinet aumentaron un 1,916% desde el comienzo del trimestre, ya que los actores de amenazas intentaron explotar una vulnerabilidad de recorrido de ruta en la tecnología (CVE-2018-13379) que podría permitir a atacantes no autenticados descargar archivos. Mientras tanto, los ataques dirigidos a las VPN seguras Pulse Connect aumentaron un 1,527% durante el mismo período en que los adversarios persiguieron una vulnerabilidad de divulgación de archivos arbitraria en el producto (CVE-2019-11510) con una clasificación de gravedad de posibilidad máxima de 10.

Ambos proveedores emitieron parches para las fallas en sus respectivos productos hace mucho tiempo, y los analistas de seguridad han estado advirtiendo durante algún tiempo sobre el gran interés de los adversarios en las vulnerabilidades. Ya en enero de 2020, por ejemplo, Sostenible había advertido sobre los actores de amenazas que aprovechan la falla Pulse Link Secure para distribuir la cepa de ransomware Sodinokibi. En abril, la NSA, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional (CISA) identificado El Servicio de Inteligencia Exterior de Rusia (SVR) apunta a las fallas de Fortinet y Pulse Secure VPN en ataques contra redes estadounidenses y aliadas.

Jerry Nguyen, director de inteligencia de amenazas y respuesta rápida en Nuspire, dice que el gran aumento en la actividad dirigida a los dispositivos VPN en el primer trimestre de 2021 tuvo que ver con que las organizaciones no repararan estas vulnerabilidades a pesar de las advertencias anteriores.

«El CIRT de EE. UU. Publicó una serie de alertas recordatorias de que los atacantes estaban mirando estas VPN y que la gente debería aplicar parches», dice Nguyen. «Lo más importante que estamos viendo con las VPN (es que) todos miran el punto last y no el perímetro cuando necesitan mirar ambos».

Otros proveedores, como Electronic Shadows, han informado de un mayor interés de los atacantes en las VPN, especialmente después del brote de COVID-19 y el cambio posterior a un entorno de trabajo más distribuido. Una de las razones del interés es el amplio acceso que un dispositivo VPN comprometido puede proporcionar a un atacante, señalaron los analistas.

Según Digital Shadows, los actores de amenazas se enfocaron en vulnerabilidades en una variedad de dispositivos VPN, incluidos los dispositivos Fortinet y Pulse Protected, en el primer trimestre del año.

«El punto clave es que si una VPN es susceptible, independientemente del proveedor, los actores de amenazas encontrarán una manera de explotarla y monetizarla», dice Sean Nikkei, analista senior de inteligencia de ciberamenazas en Digital Shadows. «Los adversarios saben que las personas tardan en parchear a pesar de las advertencias públicas, por lo que seguirán atacando los puntos finales vulnerables siempre que resulte fructífero».

Nikkei dice que Digital Shadows ha visto evidencia de actores de amenazas que también explotan vulnerabilidades en productos VPN de otros proveedores.

Disminución de otras actividades maliciosas
Irónicamente, el fuerte aumento de los ataques de VPN se produjo en medio de una disminución general de malware, botnet y otros tipos de actividad de explotación. Análisis de Nuspire de datos de amenazas desde el primer trimestre de 2021 mostró que la actividad de malware disminuyó en más del 54% en comparación con el cuarto trimestre de 2020. La actividad de explotación de vulnerabilidades, aparte de la dirigida a VPN, cayó casi un 22% en comparación con el trimestre anterior, mientras que la actividad de botnet disminuyó en un 11%.

Nikkei dice que la caída relativamente pronunciada en la actividad de malware, exploits y botnet tuvo que ver con el desmantelamiento de la operación masiva Emotet por parte de las fuerzas del orden público en enero.

«Emotet siempre ha sido uno de los programas maliciosos de mayor tendencia en nuestros informes de amenazas y creó un vacío cuando se cerró», dice Nikkei.

Sin embargo, es muy probable que la pausa fuera temporal y que la actividad de malware, exploits y botnet tuvieran una tendencia al alza una vez más el último trimestre.

«Esperaría que otra familia de malware, como TrickBot, potencialmente comience a tener más tendencias o que una nueva variante de malware se haga cargo», dice Nikkei. «Los actores de amenazas no solo dejarán de distribuir malware. Se adaptarán y pasarán a algo nuevo».

Josh Smith, analista de seguridad de Nuspire, dice que las organizaciones empresariales deben prestar mucha atención a la seguridad del acceso remoto que involucra VPN y el Protocolo de escritorio remoto de Microsoft, otro objetivo de los atacantes favoritos. Ambas tecnologías brindan a los actores de amenazas un amplio acceso a una red para implementar ransomware, dice. Las organizaciones deben monitorear su pila de tecnología y asegurarse de que están aplicando parches de seguridad lo antes posible. La autenticación multifactor (MFA) también es essential, dice.

«Los usuarios finales pueden encontrar frustrante tener que ingresar códigos MFA, pero si se filtran las credenciales que permiten el acceso a un servicio remoto, MFA puede ser la diferencia entre una infracción exitosa o detener el acceso de un actor de amenazas», dice Smith.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic