El equipo de seguridad de Talos, de Cisco, advierte sobre una campaña de “compromiso de credenciales” a gran escala que está atacando indiscriminadamente a las redes, con intentos de inicio de sesión destinados a obtener acceso no autorizado a cuentas de aplicaciones web, redes VPN y protocolos SSH.
Ars Technica
Este artículo fue publicado originalmente en Ars Technica, una fuente confiable de noticias tecnológicas, análisis de políticas de tecnología, reseñas y más. Ars es propiedad de la empresa matriz de WIRED, Condé Nast.
¿Qué es el compromiso de credenciales?
El compromiso de credenciales ocurre cuando un tercero se hace con la información necesaria para acceder a alguna de tus cuentas. En este caso, los intentos de inicio de sesión utilizan tanto nombres de usuario genéricos como nombres de usuario válidos dirigidos a organizaciones específicas. Cisco incluyó una lista de más de 2,000 nombres de usuario y casi 100 contraseñas utilizadas en los ataques, junto con cerca de 4,000 direcciones IP que envían el tráfico desde nodos de salida dentro de la red Tor, además de otros túneles y servidores proxy anónimos. Los ataques parecen ser indiscriminados y oportunistas, en lugar de estar dirigidos a una región o a una industria en particular.
“Dependiendo del entorno objetivo, los ataques exitosos de este tipo pueden conducir a un acceso no autorizado a la red, bloqueos de cuentas o condiciones de denegación de servicio (DDoS)”, escribieron el martes los investigadores de Talos. “El tráfico relacionado con estos ataques ha aumentado con el tiempo y es probable que siga haciéndolo”, concluyeron.
Los ataques comenzaron al menos antes del 18 de marzo
El aviso del martes se produjo tres semanas después de que Cisco advirtiera sobre una campaña de ataque similar, que describió como un “ataque de pulverización de contraseñas” (aquí, los hackers usan contraseñas muy usadas para obtener acceso) dirigido a redes VPN de acceso remoto de Cisco y proveedores externos conectados a los firewalls de Cisco. Esta campaña parecía estar relacionada con búsqueda de reconocimiento, según propuso la empresa.
Los ataques incluyeron cientos de miles o millones de intentos de autenticación rechazados. Cisco continuó declarando que los usuarios pueden recibir de forma intermitente un mensaje de error que reza: “No se puede completar la conexión. Cisco Secure Desktop no está instalado en el cliente”. Los intentos con tal error no logran completar el proceso de conexión VPN. El reporte también informó sobre “síntomas de fallas en la asignación del token de hostscan”.
Un representante de Cisco apuntó que los investigadores de la compañía actualmente no tienen evidencia para vincular de manera concluyente la actividad en ambos casos con el mismo actor de amenaza, pero que existen superposiciones técnicas en la forma en que se llevaron a cabo los ataques, así como en la infraestructura que se utilizó.
Talos indicó el martes que los servicios a los que se dirige la campaña incluyen, entre otros:
- VPN Cisco Secure Firewall
- VPN Checkpoint
- VPN Fortinet
- VPN SonicWall
- RD Web Services
- Microtik
- Draytec
- Ubiquiti
Las IP de anonimización parecían pertenecer a servicios, entre ellos:
- COLINA
- VPN Gate
- Proxy IPIDEA
- Proxy BigMama
- Space Proxies
- Proxy Nexus
- Proxy Rack
Cisco ya ha agregado la lista de direcciones IP mencionada anteriormente a una lista de bloqueo para sus ofertas de VPN. Las organizaciones pueden agregar las direcciones a las listas de bloqueo para cualquier VPN de terceros que estén utilizando. Aquí encontrarás una lista completa de indicaciones de compromiso.
- Habilitar el registro detallado, idealmente en un servidor syslog remoto, para que los administradores puedan reconocer y correlacionar ataques en varios puntos finales de la red.
- Proteger las cuentas de acceso remoto predeterminadas mediante sumideros dee DDNS, a menos que utilicen los perfiles DefaultRAGroup y DefaultWEBVPNGroup.
- Bloquear intentos de conexión de fuentes maliciosas conocidas.
- Implementar listas de control de acceso a nivel de interfaz y plano de control para filtrar direcciones IP públicas no autorizadas y evitar que inicien sesiones VPN remotas.
- Utilice el comando shun.
Además, las VPN de acceso remoto deben utilizar autenticación basada en certificados. Cisco enumera aquí pasos adicionales para reforzar las VPN.
Artículo publicado originalmente en Ars Technica. Adaptado por Mauricio Serfatty Godoy.
También te puede interesar…
News Related-
Jugadoras muestran su amor previo a enfrentarse en Final de Liga MX Femenil
-
“Quiere ser blanca”: critican a Beyoncé por su aspecto durante estreno de “Renaissance’
-
Vicente Fox cierra su cuenta de Twitter tras acusaciones de misoginia
-
Nicola Porcella causa polémica par dar un “ride” al Metrobús a sus fans
-
Rayados: Héctor Moreno 'enciende' a la afición tras renovar con Monterrey
-
X es "un arma de destrucción masiva de nuestras democracias", alcaldesa de París
-
Abejas de León pierde ante Fuerza Regia que suma su tercer juego ganado
-
Javier Milei se reúne en Nueva York con el expresidente Bill Clinton y un asesor de Biden
-
Entre acusaciones, dirigentes nacionales de PAN, PRD y MC se confrontaron en debate en la FIL
-
¿Por qué NO todos los trabajadores tendrían 2 DÍAS de DESCANSO con la Reforma Laboral? LFT
-
Los personajes más odiados de todos los tiempos en las series: 'Game of Thrones' aparece tres veces entre los 10 más votados
-
Gobierno de AMLO pagará 2 mil millones de pesos a Liverpool por la bodega para la "superfarmacia"
-
¿Qué usó Anika Rodríguez en la cara durante la final femenil?
-
“Riesgo de una catástrofe nuclear es real y va en aumento”, alerta Juan Ramón de la Fuente en la ONU