Cotització de descompte per a múltiples llicències
Seguretat informàtica Compte! Els ciberatacs iranians amenacen la...

Compte! Els ciberatacs iranians amenacen la infraestructura crítica en la campanya global en curs

El Mura el Seguretat informàtica
Traduir a:
Català

En el món en constant evolució de les amenaces cibernètiques, una de les tendències més alarmants és l'augment dels ciberatacs patrocinats per l'estat dirigits a infraestructures crítiques . Recents avisos conjunts d'agències de ciberseguretat i intel·ligència dels Estats Units, Austràlia i Canadà revelen una campanya d'un any d'actors cibernètics iranians dirigida a sectors clau com la sanitat, l'energia, el govern i la tecnologia de la informació.

Els mètodes darrere dels ciberatacs iranians

Des de l'octubre de 2023, els ciberactors iranians han emprat atacs de força bruta i polvorització de contrasenyes per infiltrar-se a les organitzacions . Aquestes tàctiques impliquen endevinar contrasenyes de manera sistemàtica i sistemes d'inici de sessió aclaparadors per obtenir accés no autoritzat als comptes d'usuari. Sectors com la sanitat, l'enginyeria i els serveis governamentals són objectius principals, donada la seva sensibilitat i importància.

Una tàctica emergent utilitzada per aquests atacants és el bombardeig d'autenticació multifactor (MFA), també conegut com a fatiga MFA. En inundar els usuaris amb sol·licituds MFA repetides, els atacants esperen molestar o confondre les víctimes perquè aprovin l'accés sense voler. Ray Carney, expert en ciberseguretat de Tenable, suggereix utilitzar MFA resistent a la pesca o utilitzar la concordança de números per a un procés d'autenticació més segur.

L'objectiu principal d'aquests atacs és robar credencials i informació detallada de la xarxa, que després es ven als fòrums clandestins. Això crea oportunitats perquè altres ciberdelinqüents explotin sistemes compromesos per a més atacs, alineant-se amb el panorama de ciberseguretat més ampli de col·laboració entre grups patrocinats per l'estat i la ciberdelinqüència organitzada.

Tècniques d'atac avançades

Després de l'accés inicial, els atacants iranians solen dur a terme un reconeixement exhaustiu dels sistemes de l'objectiu. Utilitzen eines de "viure de la terra" (LotL), que utilitzen la pròpia infraestructura de l'organització per no ser detectades. Les explotacions d'escalada de privilegis, com la coneguda vulnerabilitat Zerologon (CVE-2020-1472), ajuden els atacants a aprofundir en els sistemes.

En molts casos, els atacants utilitzen protocols d'escriptori remot (RDP) i eines com Cobalt Strike per establir connexions de comandament i control (C2). En particular, de vegades registren els seus propis dispositius amb sistemes MFA, cosa que els permet mantenir un accés persistent durant llargs períodes sense generar sospita.

Orientació a Active Directory i més enllà

Els ciberactors iranians es centren cada cop més a comprometre Active Directory, la columna vertebral de molts entorns informàtics empresarials. Active Directory té un paper crucial en la gestió de l'autenticació dels usuaris i els permisos a través de les xarxes. El compromís d'aquest sistema permet als atacants augmentar els privilegis, donant-los accés a informació molt sensible i control sobre sistemes crítics.

Els canvis recents en el panorama global de les amenaces també apunten a una tendència de col·laboració entre els grups de pirateria informàtica de l'estat-nació i les organitzacions cibercriminals. L'Informe de defensa digital 2024 de Microsoft destaca que els atacants patrocinats per l'estat iranià no només estan duent a terme operacions per raons geopolítiques, sinó que també estan motivats per guanys financers. En subcontractar part de les seves operacions a ciberdelinqüents, amplien el seu abast mantenint un perfil més baix.

Què poden fer les organitzacions

Per mitigar aquests riscos, les organitzacions dels sectors objectiu han de prendre mesures proactives:

  • Implementeu MFA resistent a la pesca sempre que sigui possible. Si no és possible, utilitzeu la concordança de números com a opció d'autenticació secundària.
  • Auditeu regularment i apliqueu les vulnerabilitats, especialment a Active Directory i altres sistemes crítics.
  • Capaciteu els empleats per reconèixer els signes de fatiga de l'MFA i animeu-los a denunciar intents d'inici de sessió sospitosos.
  • Superviseu el trànsit de xarxa per detectar activitats inusuals, especialment les connexions sortints a la infraestructura C2 coneguda.
  • Col·labora amb agències governamentals i companys del sector per mantenir-te informat sobre les últimes amenaces i les millors pràctiques per a la defensa.

El camí per endavant

A mesura que els ciberatacs es tornen més sofisticats i s'entrellacen amb objectius geopolítics globals, les empreses han d'estar vigilants. La campanya d'un any d'actors cibernètics iranians serveix com a recordatori contundent que fins i tot els sistemes de seguretat més robusts es poden veure compromesos sense les defenses adequades.

Mantenir-se per davant d'aquestes amenaces requereix una adaptació constant, col·laboració i un compromís amb les millors pràctiques de ciberseguretat. Tot i que cap sistema és impermeable, les organitzacions informades i preparades tenen moltes més possibilitats de resistir l'onada creixent de ciberatacs.

Carregant...