La Agencia de Ciberseguridad e Inteligencia de los Estados Unidos ha emitido una advertencia conjunta de posibles ataques cibernéticos de actores de amenaza patrocinados por el estado iraní o afiliados.
«En los últimos meses, ha habido un aumento en la actividad de los actores relacionados con los hativistas y el gobierno iraní, que se espera que aumente debido a eventos recientes», dijo la agencia.
«Estos actores cibernéticos a menudo explotan los objetivos de oportunidades en función de su uso de software menos o obsoleto, acompañados del uso de contraseñas predeterminadas o comunes en cuentas y dispositivos conectados a Internet, con vulnerabilidades y exposiciones comunes conocidas».
Actualmente, no hay evidencia de una campaña colaborativa de actividad cibernética maliciosa causada por Irán, la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), la Oficina Federal de Investigación (FBI), el Centro de Cibernidades Cibernéticas del Departamento de Defensa (DC3) y la Agencia de Seguridad Nacional (NSA).
Enfatizando la necesidad de una «mayor vigilancia», la agencia ha seleccionado a las empresas de infraestructura de la industria de defensa (DIB), particularmente aquellas con vínculos con las compañías de investigación y defensa israelíes, como un aumento en el riesgo. Agregaron que las entidades estadounidenses e israelíes también podrían estar expuestas a ataques distribuidos de denegación de servicio (DDoS) y campañas de ransomware.
Los atacantes a menudo comienzan con herramientas de reconocimiento como Shodan para encontrar dispositivos vulnerables orientados a Internet, particularmente en entornos de sistemas de control industrial (ICS). Una vez dentro, pueden explotar la segmentación débil o los firewalls incomprendidos para moverse de lado a través de la red. Los grupos iraníes han aumentado previamente el acceso utilizando herramientas de acceso remoto (ratas), keyloggers e incluso utilidades de gestión legal como PSEXEC y Mimikatz.
Según las campañas anteriores, los ataques adjuntos por los actores de amenaza iraníes aprovechan las técnicas de aprovechamiento de la contraseña, la adivinación de contraseña, el grieta con hash y las contraseñas predeterminadas del fabricante para acceder a dispositivos expuestos a Internet. También se ha encontrado que viola las redes de tecnología operativa (OT) empleando herramientas de ingeniería y diagnóstico de sistemas.
El desarrollo se produce días después de que el Departamento de Seguridad Nacional (DHS) emitió sus noticias de última hora, instando a las organizaciones estadounidenses a monitorear los «ataques cibernéticos de bajo nivel» por los hacktivistas iraníes en medio de tensiones geopolíticas continuas entre Irán e Israel.
La semana pasada, Check Point reveló que el grupo de piratería de estado-estado de la nación iraní, rastreado como periodista objetivo de APT35, un conocido experto en ciberseguridad y profesor de ciencias de la computación israelí, fue rastreado como parte de una campaña de phishing de lanza diseñada para usar la página de inicio de sesión de Gmail Bogus o Google para obtener una calificación de cuentas de Google.
Como mitigación, se aconseja a las organizaciones que sigan los pasos a continuación –
Puede identificar y desconectar los activos OT y ICS de Internet público, proteger sus dispositivos y cuentas con contraseñas fuertes y únicas, reemplazar contraseñas débiles o predeterminadas y hacer cumplir la autenticación multifactor (MFA). Cambios incorrectos, pérdida de visión o pérdida de control adoptan un sistema completo y una copia de seguridad de datos para promover la recuperación
Para las organizaciones que se preguntan por dónde comenzar, el enfoque real es mirar primero la superficie de ataque externo. Es qué sistemas son públicos, qué puertos están abiertos y si los servicios obsoletos aún se están ejecutando. Herramientas como el programa de higiene cibernética de CISA y escáneres de código abierto como NMAP pueden ayudar a los atacantes a identificar riesgos antes de que se realicen. Al ajustar sus defensas al marco Mitre ATT y CK, es más fácil priorizar la protección en función de las tácticas reales utilizadas por los actores de amenaza.
«A pesar del alto el fuego y las continuas negociaciones para una solución permanente, los actores cibernéticos relacionados con Irán y los grupos de hativistas aún pueden participar en actividades cibernéticas maliciosas», dijo la agencia.
Source link
