Al parecer, grupos Advanced Persistent Threat (APT) están persiguiendo la propiedad intelectual y la investigación orientada a la lucha contra la pandemia de coronavirus, según una alerta emitida conjuntamente por la Cybersecurity and Infrastructure Security Agency y el United Kingdom’s National Cyber Security Centre.
«La CISA y el NCSC están investigando actualmente una serie de incidentes en los que los agentes de la amenaza tienen como objetivo las empresas farmacéuticas, las organizaciones de investigación médica y las universidades», indica la alerta.
«Los grupos de APT suelen tomar como blanco a esas organizaciones, con el fin de robar datos de investigación delicados y propiedad intelectual para beneficio comercial y de otros estados. Las organizaciones que participan en investigaciones relacionadas con el COVID-19 son objetivos atractivos para los agentes de las APT, que buscan obtener información para sus actividades nacionales de investigación sobre la medicina relacionada con el COVID-19».
Los APT se asocian normalmente con los estados-nación debido al nivel de sofisticación y recursos que son capaces de poner en sus campañas de hacking.
La alerta del día 5 de mayo no nombra a ningún estado en particular, pero las autoridades del Reino Unido sospechan que Rusia, Irán y China son responsables de los recientes ataques que aún no han tenido éxito.
«Recientemente la CISA y el NCSC han detectado a los actores de las APT escaneando los sitios web externos de las empresas objetivo y buscando vulnerabilidades en el software sin parches», advierten las agencias. «Se sabe que los actores se aprovechan de la vulnerabilidad de Citrix CVE-2019-19781, y de las vulnerabilidades en productos de redes privadas virtuales (VPN) de Pulse Secure, Fortinet y Palo Alto».
Ambos organismos anunciaron por primera vez la participación de las APT en los intentos de piratería relacionados con COVID-19 en una alerta del 8 de abril, en la que también mencionaron las vulnerabilidades de Citrix y VPN. Esa alerta incluía una guía, para mitigar los ataques que usan herramientas de teleconferencia y varias tácticas de phishing para entregar el malware asociado.
La última alerta apunta a la «pulverización de contraseñas», mediante la que agentes maliciosos se aprovechan del uso inevitable de contraseñas deficientes por parte de unos pocos iniciados, para obtener acceso a los sistemas y datos.
La alerta describe la táctica como un «ataque de fuerza bruta, con la que el atacante intenta una única y comúnmente usada contraseña contra muchas cuentas, antes de pasar a intentar una segunda contraseña, y así sucesivamente».
Funciona, dicen las autoridades, porque «en cualquier gran conjunto de usuarios, es probable que algunos empleen contraseñas comunes».
El rociado de contraseñas no es nada nuevo. Para mitigarlo, la alerta se refiere a una otra del CISA, sobre esta táctica a partir de marzo de 2018, además de las directrices básicas para elegir y complementar las contraseñas.
También se incluyeron en la alerta otras medidas de mitigación, como el uso de autenticación multifactorial, programas y sistemas modernos, el establecimiento de capacidades de vigilancia de la seguridad y la protección de las interfaces de gestión.
Fte. Nextgov
Sé el primero en comentar