Cotización de descuento para licencias múltiples
Seguridad informática Los piratas informáticos rusos Seashell Blizzard atacan...

Los piratas informáticos rusos Seashell Blizzard atacan objetivos de infraestructura crítica, advierte Microsoft

Por Mura en Seguridad informática
Traducir a:
Español

Un peligroso grupo de piratas informáticos vinculado a Rusia, conocido como Seashell Blizzard , ha intensificado sus ataques a infraestructuras críticas en todo el mundo, lo que ha suscitado preocupaciones sobre operaciones destructivas y ciberespionaje a largo plazo. Según una reciente advertencia de Microsoft, este grupo no solo se está infiltrando en sistemas de alto valor, sino que también se está infiltrando profundamente para mantener el control a largo plazo sobre las redes comprometidas.

Seashell Blizzard es un conocido actor de amenazas ruso

Seashell Blizzard, también conocido como APT44, BlackEnergy Lite, Sandworm, Telebots y Voodoo Bear, ha sido una amenaza cibernética importante desde al menos 2009. Se cree que el grupo opera bajo la agencia de inteligencia militar de Rusia, el GRU (específicamente, la Unidad 74455). Seashell Blizzard es conocido por sus ataques destructivos, incluido el infame ransomware NotPetya que paralizó empresas globales en 2017 y el malware KillDisk que atacó sistemas críticos ucranianos en 2015.

A lo largo de los años, Seashell Blizzard se ha centrado en sectores de infraestructura críticos como:

  • Energía
  • Abastecimiento de agua
  • Instituciones gubernamentales
  • Redes militares
  • Telecomunicaciones
  • Transporte
  • Fabricación

Estos ataques no son aleatorios: están estrechamente alineados con objetivos militares rusos, particularmente en Ucrania, donde la guerra cibernética ha sido un componente clave de la estrategia de conflicto más amplia de Rusia.

Un nuevo subgrupo centrado en el acceso persistente

El último informe de Microsoft destaca la aparición de un subgrupo dentro de Seashell Blizzard que ha estado operando bajo el radar durante al menos cuatro años. Este subgrupo se dedica a una misión crítica: obtener acceso inicial a sistemas vulnerables y establecer una persistencia a largo plazo. Esto permite a los piratas informáticos mantener el control sobre los sistemas comprometidos durante meses o incluso años, listos para lanzar ataques disruptivos en cualquier momento.

Esta campaña, denominada BadPilot , se lleva a cabo desde 2021 y se centra en infiltrarse en objetivos de alto valor para facilitar ataques más amplios a la red. Los métodos del subgrupo se describen como sigilosos y muy oportunistas, y se basan en vulnerabilidades en software de uso generalizado y sistemas conectados a Internet.

Explotación de vulnerabilidades conocidas

Los atacantes están explotando fallos de seguridad bien conocidos en sistemas populares, entre los que se incluyen:

  • Conexión de pantalla de ConnectWise (CVE-2024-1709)
  • Fortinet FortiClient EMS (CVE-2023-48788)
  • Microsoft Exchange (CVE-2021-34473)
  • Paquete de colaboración Zimbra (CVE-2022-41352)
  • Servidor de chat OpenFire (CVE-2023-32315)
  • Servidor de compilación de TeamCity (CVE-2023-42793)
  • Microsoft Outlook (CVE-2023-23397)
  • Servidores JBOSS (CVE no especificado)

Los piratas informáticos emplean un método agresivo de “spray and pray”, escaneando Internet en busca de sistemas vulnerables y atacándolos en masa. Una vez dentro, se incrustan utilizando herramientas como web shells y software de monitoreo y administración remota (RMM), lo que garantiza el control a largo plazo sobre los sistemas comprometidos.

Técnicas alarmantes utilizadas para mantener el control

Una vez que un sistema se ve comprometido, el subgrupo implementa múltiples técnicas de persistencia:

  • Implementaciones de Web Shell: proporcionar acceso de puerta trasera para control remoto.
  • Herramientas RMM: permiten el acceso discreto y una mayor implementación de malware.
  • Recolección de credenciales: modificación de las páginas de inicio de sesión de OWA y la configuración de DNS para robar credenciales de usuario.
  • Inyección de JavaScript: adición de código malicioso a los portales de inicio de sesión para recopilar nombres de usuario y contraseñas.

    • En varios casos, este acceso persistente precedió a ataques destructivos, lo que sugiere que los piratas informáticos mantienen una capacidad de doble propósito (espionaje y sabotaje) dependiendo de las necesidades militares y geopolíticas rusas.

    Expansión global: Estados Unidos y el Reino Unido, ahora en la mira

    Si bien Ucrania ha sido el foco principal de las operaciones cibernéticas de Seashell Blizzard, el informe de Microsoft revela que este subgrupo amplió su alcance en 2023 y apuntó a organizaciones de Estados Unidos y el Reino Unido. La expansión indica un cambio peligroso, que sugiere que el manual de estrategias de guerra cibernética de Rusia está ampliando su alcance para incluir a las naciones occidentales.

    Una amenaza persistente y creciente

    Microsoft advierte que este subgrupo no está perdiendo terreno. De hecho, es probable que siga evolucionando y desplegando técnicas innovadoras para infiltrarse en redes de todo el mundo. Con la guerra en curso de Rusia en Ucrania y las crecientes tensiones geopolíticas, los ciberataques contra infraestructuras críticas podrían escalar y tener consecuencias devastadoras en el mundo real.

    Cómo proteger su organización contra las tormentas de nieve Seashell

    Las organizaciones de sectores críticos deben tomar medidas inmediatas para defenderse de esta amenaza persistente:

    • Parchear vulnerabilidades conocidas: garantizar que los sistemas que ejecutan ScreenConnect, Fortinet, Exchange, Zimbra, OpenFire y otro software específico estén completamente actualizados.
    • Fortalezca la seguridad de la red: implemente autenticación multifactor (MFA), restrinja el acceso a sistemas sensibles y monitoree la actividad inusual.
    • Supervisar la persistencia: realice auditorías de seguridad periódicas para detectar shells web no autorizados, herramientas RMM o modificaciones en páginas de inicio de sesión y configuraciones de DNS.
    • Preparación para la respuesta a incidentes: prepárese para posibles ataques disruptivos desarrollando un plan de respuesta integral y garantizando que las copias de seguridad sean seguras y se prueben periódicamente.

    Advertencia final

    Seashell Blizzard y su subgrupo de acceso inicial representan un peligro claro y presente para la infraestructura crítica a nivel mundial. Su incesante búsqueda de acceso persistente podría servir como precursor de un sabotaje cibernético a gran escala, capaz de interrumpir las redes de energía, el suministro de agua, los sistemas de transporte y las operaciones gubernamentales. Los últimos hallazgos de Microsoft son un duro recordatorio: el próximo gran ciberataque podría estar acechando ya dentro de los sistemas críticos, esperando la señal para atacar.


    Cargando...