Cómo mantenerse a salvo de ataques como el reciente hackeo de Cisco

Cómo mantenerse a salvo de ataques como el reciente hackeo de Cisco

  • jueves 1 septiembre, 2022

Por Ronen Ahdut, analista sénior de CyOps

Existe una sorprendente similitud entre los ataques recientes de Cisco, Microsoft y Nvidia: todos los atacantes utilizaron credenciales de texto sin cifrar como su punto de acceso inicial.

Estas empresas, cada una de las cuales está en la cima de su carrera, no son ajenas a la ciberseguridad. De hecho, Microsoft y Cisco figuran entre los principales proveedores de seguridad. Entonces, ¿cómo fueron pirateados y por quién?

Para responder a eso, primero tendremos que cambiar nuestra perspectiva.

En el lapso de menos de seis meses, tres titanes tecnológicos fueron el objetivo de un actor de amenazas relativamente nuevo: el grupo de hackers Lapsus. De hecho, Cisco Talos relacionó a su atacante con la pandilla Lapsus. La actividad de Lapsus se detectó por primera vez en diciembre de 2021 cuando se dirigieron a los sistemas del Ministerio de Salud de Brasil. Han pirateado varias empresas desde entonces y discuten abiertamente sus actividades en su chat grupal de Telegram.

La mayoría de los miembros de Lapsus eran adolescentes. Compensaron la falta de títulos, certificaciones y experiencia con determinación, sofisticación, habilidades de ingeniería social y un factor sin el cual ninguno de sus trucos más grandes hubiera sido posible: una pandemia global.

COVID-19 ha cambiado el mundo tal como lo conocemos, incluida la forma en que trabajamos.

Hoy en día, la mayoría de las empresas, si no todas, admiten un entorno de trabajo híbrido. Mucha gente va físicamente a sus oficinas solo varias veces a la semana. Algunas empresas incluso han rechazado la noción de una oficina en persona, operando de forma completamente remota.

Si bien esta situación puede parecer excelente para los empleados (y los equipos de finanzas felices de ver recortes en los gastos de viaje, alquiler, servicios públicos), también es una bendición para los actores de amenazas.

Los bloqueos llevaron a las empresas a buscar una solución, y rápido.

Se agregaron nuevos dispositivos al dominio. El personal de TI se apresuró a brindar soporte para BYOD (Bring Your Own Device) o computadoras portátiles de la empresa que hacen posible el trabajo remoto. Esto alteró la infraestructura de la empresa y las pautas de seguridad. Las empresas que dependían estrictamente de una intranet ahora tenían que facilitar las conexiones remotas a sus entornos. Y, con todo el mundo encerrado, estas computadoras a menudo las usaban los miembros de la familia.

El cierre también afectó a las comunidades clandestinas. De repente, la gente tuvo tiempo de aprender y desarrollar nuevas habilidades. Algunos aprendieron a coser, algunos aprendieron a cocinar. Otros empezaron a hackear…

Esta dinámica trajo una oleada de nuevos actores de amenazas a las comunidades clandestinas: se crearon foros, grupos de Telegram y canales de Discord a diario. Pero incluso un adolescente encerrado que está fascinado por el atractivo mundo de la piratería informática carece de los años de experiencia necesarios para piratear con éxito un sistema, y ​​mucho menos una empresa importante.

Entonces, ¿Cómo lo hicieron?

Malware como servicio (MaaS)

En el pasado, se requería un gran grupo de personas para apoyar y operar una gran operación de piratería. Hoy en día, más recién llegados\SKIDS («script kiddie» o una persona relativamente poco capacitada que usa scripts o programas) confían en el modelo MaaS. Estos modelos de MaaS son malware prefabricado que se vende como un plan de suscripción.

Los recién llegados ahora pueden alquilar conjuntos de malware que antes no estaban disponibles para todos excepto APT o grupos de piratería por precios entre $ 10 y $ 200 USD.

Las publicaciones de “ Eternity Project ” son un gran ejemplo de esto:

3 consejos para mantenerse a salvo

El hecho de que los atacantes sean implacables no significa que no haya cosas que puedas hacer ahora mismo para evitar ser su próxima víctima.

Lo primero y más valioso que puede hacer es concienciar a los empleados. Las infecciones no ocurren por sí solas. A menudo, es un usuario final que no tiene conocimientos técnicos lo que pone de rodillas a una empresa. No recibieron educación sobre las mejores prácticas de seguridad cibernética, por lo que son los principales objetivos de los malhechores. Todos sabemos la historia. Un empleado descarga y ejecuta un programa: el equipo de seguridad pierde toda esperanza de dormir pronto. Pero esta es la parte importante que muchas personas olvidan (o no tienen tiempo para abordar): a medida que cambia el entorno, también debe cambiar la capacitación de concientización. Mantenga sus capacitaciones actualizadas y asegúrese de brindarlas con frecuencia.

Siguiente consejo: por difícil que sea para algunos, las computadoras portátiles de trabajo deben permanecer fuera de los límites en un hogar compartido. Gran parte de los datos que hemos descubierto están relacionados con juegos (principalmente Minecraft o Roblox) o software descifrado.

Eso significa que debe capacitar a sus empleados para que establezcan pautas para los miembros de la familia que usan la computadora portátil de su empresa. La concienciación de los empleados es insuficiente. Todos los que usen su computadora portátil deben tener cuidado con los peligros digitales.

Por último, no confíe únicamente en un sistema de monitoreo de credenciales/robo de identidad.

Muchas empresas ofrecen un servicio llamado Darknet Monitoring que rastrea la Darkweb y le envía una notificación si se menciona su nombre o si el acceso a su corporación se ofrece a la venta en un mercado. Pero la mayoría de los registros no llegan a un mercado y terminan compartidos en masa como archivos grandes que se ignoran por varias razones.

¿Interesado en aprender más?

Te invitamos a conocer más acerca de como podemos ayudar a tu empresa a mantener la seguridad de tu información con tecnologías de ultima generación como lo es Cynet.

¡Mira el faro de CyOps!

Cynet es una de las pocas empresas que actualmente ofrece un sistema de monitoreo de robo de credenciales.

Usando un sistema interno desarrollado en Cynet, monitoreamos y notificamos a los clientes cuyas credenciales relacionadas con el medio ambiente están comprometidas. ¿Por qué estamos emocionados por eso? Este monitoreo es una ventaja adicional y no depende de la implementación de Cynet en el sistema comprometido para brindarles a nuestros clientes un aviso.

Acércate con nosotros