Advertencia de ciberseguridad: los piratas informáticos rusos están apuntando a estas vulnerabilidades, así que parchee ahora.

Los ciberataques rusos se están implementando con nuevas técnicas, incluida la explotación de vulnerabilidades como los recientes días cero de Microsoft Exchange, a medida que sus piratas informáticos continúan apuntando a gobiernos, organizaciones y proveedores de energía de todo el mundo.

Un aviso conjunto de la Agencia de Seguridad de Infraestructura de Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EE. UU. (CISA), el FBI y la Agencia de Seguridad Nacional (NSA), así como el Centro Nacional de Seguridad Cibernética del Reino Unido, busca advertir a las organizaciones sobre tácticas, técnicas y procedimientos actualizados ( TTP) utilizado por el servicio de inteligencia exterior de Rusia, el SVR, un grupo también conocido por los investigadores de ciberseguridad como APT29, Cozy Bear y The Dukes . 

Se produce después de que las agencias de ciberseguridad en los EE. UU. Y el Reino Unido atribuyeran el ataque SolarWinds al servicio civil de inteligencia exterior de Rusia , así como a varias campañas dirigidas a los desarrolladores de vacunas Covid-19 .

“El SVR es un actor cibernético tecnológicamente sofisticado y altamente capaz. Ha desarrollado capacidades para dirigirse a organizaciones a nivel mundial, incluso en el Reino Unido, Estados Unidos, Europa, los estados miembros de la OTAN y los vecinos de Rusia”, dijo la alerta.

El aviso advierte que los atacantes cibernéticos rusos han actualizado sus técnicas y procedimientos en un esfuerzo por infiltrarse en las redes y evitar la detección, especialmente cuando algunas organizaciones han intentado ajustar sus defensas después de alertas previas sobre amenazas cibernéticas.

Esto incluye a los atacantes que utilizan la herramienta de código abierto Sliver como un medio para mantener el acceso a las redes comprometidas y hacer uso de numerosas vulnerabilidades, incluidas las vulnerabilidades en Microsoft Exchange .

Sliver es una herramienta del equipo rojo de código abierto, una herramienta utilizada por los probadores de penetración cuando prueban legal y legítimamente la seguridad de la red, pero en este caso se está abusando para consolidar el acceso a redes comprometidas con WellMess y WellMail, malware personalizado asociado con ataques SVR.

VER:  Política de seguridad de la red  (TechRepublic Premium)

Aunque el documento advierte que esta no es necesariamente una lista completa, otras vulnerabilidades, todas las cuales tienen parches de seguridad disponibles, utilizadas por los atacantes rusos incluyen: 

  • CVE-2018-13379 FortiGate
  • Enrutador Cisco CVE-2019-1653
  • CVE-2019-2725 Oracle WebLogic Server
  • CVE-2019-9670 Zimbra
  • CVE-2019-11510 Pulse Secure
  • CVE-2019-19781 Citrix
  • CVE-2019-7609 Kibana
  • CVE-2020-4006 VMWare
  • CVE-2020-5902 F5 Big-IP
  • CVE-2020-14882 Oracle WebLogic
  • CVE-2021-21972 VMWare vSphere 

Los atacantes también están apuntando a los servidores de correo como parte de sus ataques, ya que son útiles para organizar publicaciones para adquirir derechos de administrador y la capacidad de obtener más información y acceso a la red, ya sea para obtener una mejor comprensión de la red o un esfuerzo directo para robar información.

Pero a pesar de la naturaleza a menudo avanzada de los ataques, el documento de las autoridades de ciberseguridad de EE. UU. Y el Reino Unido dice que “seguir los principios básicos de seguridad cibernética hará que sea más difícil para los actores más sofisticados comprometer las redes objetivo”.

Esto incluye la aplicación de parches de seguridad con prontitud para que ningún ciberdelincuente (ciberdelincuente o operativo respaldado por un estado nacional) pueda explotar vulnerabilidades conocidas como un medio para ingresar o mantener la persistencia en la red.

La guía del NCSC también sugiere el uso de autenticación multifactor para ayudar a proteger la red de ataques, particularmente si las contraseñas se han visto comprometidas.

https://www.zdnet.com/article/cybersecurity-warning-russian-hackers-are-targeting-these-vulnerabilities-so-patch-now/

¡Haz clic para puntuar esta entrada!
(Votos: 1 Promedio: 5)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *