Los piratas informáticos eludieron el MFA para acceder a las cuentas de servicios en la nube

CISA: los piratas informáticos eludieron el MFA para acceder a las cuentas de servicios en la nube

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) dijo hoy que los actores de amenazas han pasado por alto los protocolos de autenticación de autenticación multifactor (MFA) para comprometer las cuentas de servicios en la nube.

"CISA está al tanto de varios ataques cibernéticos exitosos recientes contra los servicios en la nube de varias organizaciones", dijo el miércoles la agencia de ciberseguridad.

"Los actores de amenazas cibernéticas involucrados en estos ataques utilizaron una variedad de tácticas y técnicas, incluido el phishing, los intentos de inicio de sesión por fuerza bruta y posiblemente un ataque de" pasar la cookie ", para intentar explotar las debilidades en las prácticas de seguridad. Nube de la víctima organizaciones ".

Índice de contenidos
  1. Activar MFA no siempre es suficiente
  2. Ataques no relacionados con los piratas informáticos de SolarWinds

Activar MFA no siempre es suficiente

Si bien los actores de amenazas han intentado obtener acceso a algunos de los recursos en la nube de sus objetivos a través de ataques de fuerza bruta, fallaron debido a su incapacidad para adivinar las credenciales correctas o porque la organización atacada tenía MFA habilitado.

Sin embargo, en al menos un incidente, los atacantes pudieron iniciar sesión con éxito en la cuenta de un usuario a pesar de que el objetivo tenía habilitada la autenticación multifactor (MFA).

CISA cree que el los actores de amenazas pudieron derrotar los protocolos de autenticación MFA como parte de un ataque "pasar cookie" donde los atacantes secuestran una sesión ya autenticada utilizando cookies de sesión robadas para acceder a servicios en línea o aplicaciones web.

La agencia también señaló que los atacantes utilizan el inicio de sesión inicial obtenido después de suplantar las credenciales de los empleados para suplantar las cuentas de otros usuarios dentro de la misma organización al abusar de lo que parecía ser la organización de servicios de alojamiento de archivos de la empresa para alojar sus archivos adjuntos maliciosos.

En otros casos, se ha visto que los actores de amenazas modifican o configuran reglas de reenvío de correo electrónico y reglas de búsqueda para recopilar automáticamente información confidencial y financiera de cuentas de correo electrónico comprometidas.

"Además de modificar las reglas de correo electrónico de los usuarios existentes, los actores de amenazas crearon nuevas reglas de buzón de correo que reenvían ciertos mensajes recibidos de los usuarios (en particular, mensajes con ciertas palabras clave relacionadas con el phishing) a feeds RSS (Really Simple Syndication) o RSS de carpeta de suscripciones de usuarios en un intento de evitar que los usuarios legítimos vean alertas ", CISA adicional.

El FBI también advirtió a las organizaciones estadounidenses que los estafadores están abusando de las reglas de reenvío automático en los clientes de correo electrónico basados ​​en la web en los ataques de Business Email Compromise (BEC).

Ataques no relacionados con los piratas informáticos de SolarWinds

CISA también lo dijo esta actividad no está explícitamente vinculada a los actores de amenazas detrás del ataque a la cadena de suministro de SolarWinds o cualquier otra actividad maliciosa reciente.

Los ataques CISA se refieren a empleados dirigidos regularmente que utilizaron dispositivos personales o proporcionados por la empresa al acceder a los servicios en la nube de su organización desde casa.

Las débiles prácticas de higiene cibernética fueron la principal causa del éxito de los ataques, a pesar del uso de soluciones de seguridad.

La información compartida hoy se recopila exclusivamente durante varios compromisos de respuesta a incidentes de CISA y también contiene "mitigaciones recomendadas para que las organizaciones fortalezcan la configuración del entorno de nube para proteger, detectar y responder a posibles ataques".

El aviso de hoy también proporciona indicadores de compromiso y tácticas, técnicas y procedimientos (TTP) que pueden ayudar aún más a los administradores y equipos de seguridad a responder de manera eficaz a los ataques dirigidos a los recursos en la nube de sus organizaciones.

El aviso CISA contiene medidas que las organizaciones pueden tomar fortalecer sus configuraciones de seguridad en la nube y bloquear ataques dirigidos a sus servicios en la nube.

El viernes pasado la agencia emitió otro aviso de seguridad con respecto al uso de SolarWinds por parte del actor de amenazas pulverización de contraseña es adivina la contraseña ataques, así como explotar credenciales poco seguras para piratear víctimas en lugar de utilizar la puerta trasera Sunburst.

Un aviso de la Agencia de Seguridad Nacional de diciembre de 2020 también advirtió sobre los piratas informáticos que falsifican información de autenticación en la nube para obtener acceso a los recursos de inicio de sesión en la nube de los objetivos.

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Subir Change privacy settings