Cotización de descuento para licencias múltiples
Seguridad informática ¡Cuidado! Los ciberataques iraníes amenazan...

¡Cuidado! Los ciberataques iraníes amenazan infraestructuras críticas en una campaña global en curso

Por Mura en Seguridad informática
Traducir a:
Español

En el mundo en constante evolución de las amenazas cibernéticas, una de las tendencias más alarmantes es el aumento de los ciberataques patrocinados por estados contra infraestructuras críticas . Recientes avisos conjuntos de agencias de inteligencia y ciberseguridad de Estados Unidos, Australia y Canadá revelan una campaña en curso durante un año por parte de actores cibernéticos iraníes dirigida a sectores clave como la atención médica, la energía, el gobierno y la tecnología de la información.

Los métodos detrás de los ciberataques iraníes

Desde octubre de 2023, los cibercriminales iraníes han empleado ataques de fuerza bruta y rociado de contraseñas para infiltrarse en organizaciones . Estas tácticas implican adivinar sistemáticamente las contraseñas y sobrecargar los sistemas de inicio de sesión para obtener acceso no autorizado a las cuentas de los usuarios. Sectores como la atención sanitaria, la ingeniería y los servicios gubernamentales son objetivos principales, dada su sensibilidad e importancia.

Una táctica emergente que utilizan estos atacantes es el bombardeo de autenticación multifactor (MFA), también conocido como fatiga de MFA. Al inundar a los usuarios con solicitudes de MFA repetidas, los atacantes esperan molestar o confundir a las víctimas para que aprueben el acceso sin querer. Ray Carney, un experto en ciberseguridad de Tenable, sugiere utilizar MFA resistente al phishing o emplear la coincidencia de números para un proceso de autenticación más seguro.

El objetivo principal de estos ataques es robar credenciales e información detallada de la red, que luego se vende en foros clandestinos. Esto crea oportunidades para que otros cibercriminales exploten los sistemas comprometidos para realizar nuevos ataques, en línea con el panorama más amplio de ciberseguridad de colaboración entre grupos patrocinados por estados y cibercrimen organizado.

Técnicas de ataque avanzadas

Después del acceso inicial, los atacantes iraníes suelen realizar un reconocimiento exhaustivo de los sistemas del objetivo. Utilizan herramientas "living-off-the-land" (LotL), que utilizan la propia infraestructura de la organización para pasar desapercibidos. Los exploits de escalada de privilegios, como la conocida vulnerabilidad Zerologon (CVE-2020-1472), ayudan a los atacantes a adentrarse más en los sistemas.

En muchos casos, los atacantes utilizan protocolos de escritorio remoto (RDP) y herramientas como Cobalt Strike para establecer conexiones de comando y control (C2). Cabe destacar que, en ocasiones, registran sus propios dispositivos con sistemas MFA, lo que les permite mantener un acceso persistente durante largos períodos sin levantar sospechas.

Orientación hacia Active Directory y más allá

Los cibercriminales iraníes se centran cada vez más en poner en peligro el Active Directory, la columna vertebral de muchos entornos de TI empresariales. Active Directory desempeña un papel crucial en la gestión de la autenticación y los permisos de los usuarios en las redes. La vulneración de este sistema permite a los atacantes aumentar los privilegios, lo que les da acceso a información muy sensible y control sobre sistemas críticos.

Los cambios recientes en el panorama de amenazas globales también apuntan a una tendencia de colaboración entre grupos de piratas informáticos de estados nacionales y organizaciones cibercriminales. El Informe de Defensa Digital 2024 de Microsoft destaca que los atacantes patrocinados por el estado iraní no solo realizan operaciones por razones geopolíticas, sino que también están motivados por el lucro económico. Al subcontratar partes de sus operaciones a cibercriminales, amplían su alcance manteniendo un perfil más bajo.

Qué pueden hacer las organizaciones

Para mitigar estos riesgos, las organizaciones de los sectores objetivo deben tomar medidas proactivas:

  • Implemente una autenticación multifactor resistente a la suplantación de identidad siempre que sea posible. Si no es posible, utilice la coincidencia de números como una opción de autenticación secundaria.
  • Auditar y parchear periódicamente las vulnerabilidades, especialmente en Active Directory y otros sistemas críticos.
  • Capacite a los empleados para que reconozcan los signos de fatiga de MFA y anímelos a denunciar intentos de inicio de sesión sospechosos.
  • Supervise el tráfico de la red para detectar actividad inusual, especialmente conexiones salientes a infraestructura C2 conocida.
  • Colaborar con agencias gubernamentales y pares de la industria para mantenerse informado sobre las últimas amenazas y las mejores prácticas de defensa.

El camino por delante

A medida que los ciberataques se vuelven más sofisticados y se entrelazan con objetivos geopolíticos globales, las empresas deben estar alerta. La campaña de un año de duración de los ciberataques iraníes sirve como un duro recordatorio de que incluso los sistemas de seguridad más robustos pueden verse comprometidos si no se implementan las defensas adecuadas.

Para mantenerse a la vanguardia de estas amenazas se requiere adaptación constante, colaboración y un compromiso con las mejores prácticas de ciberseguridad. Si bien ningún sistema es inmune, las organizaciones informadas y preparadas tienen muchas más posibilidades de resistir la creciente ola de ciberataques.

Cargando...