Se advierte a las organizaciones con trabajadores remotos que utilizan servicios basados ​​en la nube sobre varios ataques cibernéticos exitosos recientes contra estos servicios.

VER: Ingeniería social: una hoja de trucos para profesionales (PDF gratuito) (TechRepublic)

En un aviso publicado el miércoles, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) reveló que los piratas informáticos utilizaron campañas exitosas de phishing, intentos de inicio de sesión de fuerza bruta y ataques potenciales de paso de cookies para explotar las debilidades de las prácticas de seguridad en la nube. En un ataque pass-the-cookie, los piratas informáticos roban cookies de la sesión de navegación de un usuario para que luego pueda acceder a un sitio determinado como víctima.

Según el análisis de CISA, este tipo de ataques a menudo ocurren cuando los empleados de una organización trabajan de forma remota y usan una combinación de máquinas corporativas y dispositivos personales para conectarse a diferentes servicios en la nube. Si bien las organizaciones y los usuarios pueden protegerse con la seguridad adecuada, los hábitos de higiene cibernéticos débiles allanan el camino para que los piratas informáticos tengan éxito en los ataques cibernéticos.

VER: Los 5 principales protocolos de seguridad de higiene de contraseñas que las empresas deben seguir (República Tecnológica)

En las campañas de phishing observadas, los atacantes desplegaron correos electrónicos que contenían enlaces maliciosos en un intento de capturar las credenciales de inicio de sesión de la cuenta del servicio en la nube. Los correos electrónicos parecían provenir de un servicio de alojamiento de archivos legítimo, mientras que los enlaces parecían apuntar a mensajes seguros, todo con el objetivo de engañar al usuario. Luego, los atacantes pudieron usar las cuentas comprometidas para enviar correos electrónicos de phishing a otros empleados de la organización objetivo.

Índice
  • Malos hábitos de ciberhigiene
  • Recomendaciones
  • Malos hábitos de ciberhigiene

    El aviso citó algunos de los malos hábitos de higiene cibernética que hacen que las organizaciones sean más vulnerables a los ataques. En un caso, una organización no necesitaba una VPN para acceder a su red. Aunque Terminal Server está ubicado dentro del firewall, se configuró con el puerto 80 abierto para permitir conexiones de empleados remotos. Como resultado, el hacker pudo explotar esta falla lanzando ataques de fuerza bruta.

    En el lado positivo, muchos intentos de fuerza bruta han fallado por dos razones. Los atacantes no pudieron encontrar el nombre de usuario y la contraseña correctos, y las organizaciones utilizaron la autenticación multifactor (MFA) para controlar el acceso a su entorno de nube.

    VER: Política de protección contra el robo de identidad (Premium de TechRepublic)

    Sin embargo, al menos un atacante pudo comprometer la cuenta de un usuario incluso con el uso adecuado de MFA. CISA dijo que cree que este atacante puede haber usado cookies del navegador para frustrar MFA a través de un ataque de pasar la cookie.

    En varios otros casos, los trabajadores remotos configuran reglas de reenvío de correo electrónico para reenviar automáticamente los correos electrónicos de trabajo a sus cuentas personales. Al explotar estas reglas, los atacantes pudieron robar información confidencial. En un caso, los atacantes encontraron una regla existente que reenviaba correos electrónicos de trabajo a la cuenta personal del destinatario y la modificaron para redirigir los correos electrónicos a su propia cuenta.

    Más allá de modificar las reglas de correo electrónico existentes, los piratas informáticos diseñaron nuevas reglas que reenviaban mensajes específicos a las fuentes RSS de los destinatarios oa la carpeta de suscripciones RSS para evitar que aparecieran alertas de phishing.

    Recomendaciones

    Para protegerlo a usted, a su organización y a sus trabajadores remotos de este tipo de ataques, CISA ha ofrecido una serie de recomendaciones, algunas de las cuales son:

    • Implemente políticas de acceso condicional (CA) según las necesidades de su organización.
    • Establezca una línea de base para la actividad normal de la red en su entorno.
    • Revise periódicamente los registros de conexión de Active Directory y los registros de auditoría unificados para detectar actividad anormal.
    • Aplicar la autenticación multifactor.
    • Revise periódicamente las reglas y alertas de reenvío de correo electrónico creadas por el usuario, o restrinja el reenvío. Considere evitar que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
    • Centrarse en la concienciación y la formación. Eduque a los empleados sobre las amenazas, como las estafas de phishing, y cómo se transmiten.
    • Cree informes de empleados sin culpa y asegúrese de que los empleados sepan a quién contactar cuando vean actividades sospechosas o crean que han sido víctimas de un ataque cibernético.
    • Considere una política que no permita a los empleados usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
    • Contar con un plan o procedimientos de mitigación. Aprenda cuándo, cómo y por qué restablecer contraseñas y revocar tokens de sesión.
    • Verifique que todas las instancias de VM basadas en la nube con una dirección IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall e indique a los usuarios que usen una VPN para acceder a él a través del firewall.

    VER: Ingeniería social: checklist para profesionales (PDF gratuito) (República Tecnológica)

    Además, las organizaciones que usan Microsoft 365 deben considerar los siguientes pasos:

    1. Asigne algunos usuarios de confianza como administradores de eDiscovery (o eDiscovery) para buscar contenido forense en todo el entorno de Microsoft 365 para encontrar evidencia de actividad maliciosa.
    2. Deshabilite la comunicación remota de PowerShell con Exchange Online para los usuarios habituales de Microsoft 365 a fin de reducir el riesgo de que se use una cuenta comprometida para acceder a las configuraciones de arrendatario para el reconocimiento.
    3. No permita un número ilimitado de intentos fallidos de inicio de sesión. Revise la configuración de Smart Password Lock y los informes de actividad de inicio de sesión.
    4. Para investigar y auditar posibles intrusiones e infracciones, considere herramientas como Sparrow o Hawk, que son herramientas de código abierto basadas en PowerShell que se utilizan para recopilar información relacionada con Microsoft 365.

    “La gestión de la higiene de TI y la mejora de la concientización contra el phishing siguen siendo temas que se insisten cuando se habla de ciberataques exitosos, pero es extremadamente importante reconocer que la perfección en ambos casos es una carrera tonta y, por lo tanto, la recomendación de CISA para una detección sólida y la capacidad de respuesta está en su punto”, dijo a TechRepublic Tim Wade, director técnico del equipo CTO de Vectra.

    "Ya sea que se trate de debilidades conocidas relacionadas con la higiene de TI o de debilidades desconocidas, la capacidad de una organización para enfocarse rápidamente en un riesgo activo y luego tomar las medidas apropiadas para reducir el impacto, marca la diferencia entre un equipo de operaciones de seguridad exitoso y una organización que encuentra su nombre en un artículo sobre ciberataques”, dijo Wade.

    Con ese fin, Wade ofrece los siguientes consejos de ciberseguridad:

    • A pesar de las recomendaciones de CISA para habilitar la autenticación multifactor para todos los usuarios sin excepción, se observó la omisión de MFA como parte de este ataque. Es importante que las organizaciones reconozcan la importancia de MFA incluso si se dan cuenta de que no es una panacea.
    • El uso malicioso del descubrimiento electrónico (eDiscovery) continúa siendo destacado como una técnica empleada por los actores de amenazas, y las organizaciones deben estar preparadas para identificar los casos en los que se abusa de las herramientas de eDiscovery.
    • El reenvío de correo, por simple que parezca, sigue eludiendo a los equipos de seguridad como método de exfiltración y recopilación.
    • En un nivel práctico, la guía para evaluar comparativamente las redes tradicionales de TI y en la nube de una organización no es práctica sin el uso de técnicas de inteligencia artificial (IA) y aprendizaje automático (ML).
    Imagen: Leo Wolfert