Forefront Perspectivas: Infracciones del Estado-nación y nuevos vectores de ataque

Bienvenidos a otra edición de Forefront Insights. Tras recibir comentarios de nuestros lectores, hemos decidido empezar a publicar estos artículos todos los lunes, en lugar de los viernes, ya que a menudo se producen acontecimientos importantes durante el fin de semana. Hoy es 22 de abril, y estas son algunas de las últimas novedades en el mundo de la ciberseguridad.

Violación de la Corporación MITRE por un Estado-nación

Esta semana, la comunidad de ciberseguridad fue alertada de una sofisticada brecha en The MITRE Corporation, llevada a cabo por un actor de un estado-nación. MITRE es parte integrante de la seguridad nacional de Estados Unidos, ya que gestiona varios centros de investigación y desarrollo financiados con fondos federales. La brecha implicó la explotación de dos vulnerabilidades críticas: CVE-2023-46805, con una puntuación CVSS de 8,2, y CVE-2024-21887, con una puntuación CVSS de 9,1. Estas vulnerabilidades permitieron a los atacantes acceder a los sistemas de seguridad de MITRE. Estas vulnerabilidades permitían a los atacantes eludir los mecanismos de autenticación y ejecutar comandos arbitrarios en los sistemas comprometidos.

Los atacantes comenzaron su campaña con correos electrónicos de spear-phishing, que condujeron a la instalación de payloads de puerta trasera para el acceso inicial. Posteriormente, explotaron los CVE mencionados para obtener un mayor acceso y control sobre los sistemas de MITRE. Tras el compromiso inicial, los atacantes se movieron lateralmente dentro de la red, apuntando y violando su infraestructura VMware utilizando una cuenta de administrador comprometida. Este movimiento lateral permitió el despliegue de puertas traseras y web shells adicionales, que facilitaron la persistencia dentro de la red y la recolección de credenciales.

Es importante señalar, sin embargo, que MITRE ha indicado que su red empresarial central, conocida como NERVE -una red de colaboración no clasificada que proporciona recursos de almacenamiento, computación y redes- no se vio afectada por esta brecha. Esto sugiere que, aunque los atacantes pudieron infiltrarse en ciertos aspectos de los sistemas de MITRE, la infraestructura operativa principal sigue siendo segura, y no hay pruebas de que los sistemas asociados se hayan visto afectados.

Para nuestros clientes, esto subraya la importancia de proteger los perímetros de las organizaciones contra amenazas sofisticadas similares. Reforzar la seguridad de los puntos finales, mejorar los procesos de autenticación de usuarios y aumentar la supervisión de la red son medidas esenciales para salvaguardar los datos sensibles de intrusiones de tan alto nivel.

Más información sobre este incidente: La Corporación MITRE ha sido atacada por piratas informáticos nacionales que aprovechan los fallos de Ivanti (thehackernews.com)

Ataques a la identidad sin red

Con la escalada de los ataques basados en la identidad, estamos asistiendo a un cambio significativo en el panorama de la ciberseguridad. El último informe mundial sobre amenazas de CrowdStrike indica que el 75 % de los ataques relacionados con el acceso no contenían malware, sino que se basaban en técnicas más discretas como el robo de credenciales y la manipulación de los procesos de autenticación estándar. Esto refleja una tendencia creciente hacia los ataques "conscientes de la nube", que han experimentado un espectacular aumento del 110%. Estos ataques son intentos deliberados de atacar servicios en la nube, con el objetivo de comprometer funcionalidades específicas en lugar de explotar vulnerabilidades de forma oportunista.

Además, Microsoft informa de aproximadamente 4.000 ataques con contraseña por segundo dirigidos a identidades en la nube. Google también ha indicado que los ataques diseñados para robar cookies de sesión -para eludir la autenticación multifactor (MFA)- se producen con una frecuencia alarmante, casi a la par que los ataques basados en contraseñas.

Los ataques de alto perfil de grupos como APT29 (también conocido como Cozy Bear o The Dukes) y Scattered Spider (también conocido como 0ktapus), dirigidos contra servicios de proveedores de identidad (IdP), aplicaciones de software como servicio (SaaS) y mecanismos de inicio de sesión único/OAuth, demuestran el enfoque estratégico de los actores de amenazas modernos. Estos ataques contra grandes plataformas como Microsoft y Okta ponen de relieve la necesidad crítica de contar con estrategias sólidas de protección de la identidad.

En respuesta a esta evolución, es esencial que las organizaciones mejoren sus medidas de protección de la identidad. Esto puede incluir el fortalecimiento de los procesos de autenticación de usuarios, la implementación de marcos de confianza cero y el aumento de la concienciación y la formación de los empleados para reconocer y mitigar los riesgos asociados a los ataques basados en la identidad. Trabajamos estrechamente con nuestros socios para proteger sus aplicaciones SaaS y su infraestructura en general utilizando soluciones avanzadas de confianza cero de Cloudflare y Duo.

Más información sobre este vector de ataque: Cómo los atacantes pueden adueñarse de una empresa sin tocar Endpoint (thehackernews.com)

Abuso de los comentarios de GitHub para propagar malware

Se ha informado de un nuevo método de distribución de malware que utiliza indebidamente los comentarios de GitHub. Los atacantes están incrustando URL maliciosas en los comentarios de repositorios populares, que luego redirigen a sitios cargados de malware cuando los usuarios desprevenidos hacen clic en ellos. Esta técnica pone de relieve un nuevo vector de ataque: el abuso de la confianza y la utilidad de plataformas como GitHub para difundir software dañino.

Las organizaciones deben educar a sus desarrolladores sobre los riesgos de interactuar con enlaces desconocidos y asegurarse de que se aplican las medidas de seguridad adecuadas, incluido el uso de soluciones de filtrado web y antimalware para evitar que este tipo de amenazas comprometan los sistemas.

Más información sobre esta vulnerabilidad: Se abusa de los comentarios de GitHub para distribuir malware a través de URL de repos de Microsoft (bleepingcomputer.com)

En conclusión

A medida que el panorama de las amenazas digitales sigue evolucionando, es fundamental mantenerse informado sobre las últimas metodologías de ataque y mejorar nuestras estrategias defensivas. En Forefront, seguimos dedicados a proporcionarle la información y las herramientas necesarias para proteger su infraestructura y sus datos confidenciales frente a ciberamenazas cada vez más sofisticadas.

Hasta la semana que viene,

Ilyas Esmail
Director General, Forefront