Los piratas informáticos de Irán están utilizando estas herramientas para robar contraseñas y entregar ransomware, dicen el FBI y CISA

Todos pierden este nuevo ransomware amenaza con borrar las PC

Los piratas informáticos vinculados al Ministerio de Inteligencia y Seguridad de Irán están explotando una variedad de vulnerabilidades para realizar espionaje cibernético y otros ataques maliciosos contra organizaciones de todo el mundo, advirtió una alerta conjunta de las autoridades de EE. UU. y el Reino Unido.

El aviso de la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Fuerza de Misión Nacional Cibernética del Comando Cibernético de EE. UU. (CNMF) y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido dice que un gobierno iraní: La operación de piratería avanzada patrocinada conocida como MuddyWater persigue una amplia gama de objetivos.

Estos incluyen organizaciones de telecomunicaciones, defensa, gobierno local y petróleo y gas natural en Asia, África, Europa y América del Norte. Según CISA, el objetivo de los ataques es acceder a las redes para robar contraseñas e información sensible «para compartirla con otros ciberactores maliciosos».

VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)

Se sabe que el grupo explota vulnerabilidades informadas públicamente y utiliza herramientas y estrategias de código abierto para obtener acceso a datos confidenciales en los sistemas de las víctimas e implementar ransomware, dijeron las agencias. MuddyWater, también conocida como Earth Vetala, Mercury, Static Kitten y Seedworm, ha estado activa desde al menos 2018.

Muchas de las campañas aprovechan los ataques de phishing para convencer a los objetivos de que descarguen archivos ZIP que contienen archivos de Excel con macros maliciosas o archivos PDF que arrojan cargas maliciosas.

Las campañas de MuddyWater implementan muchas formas diferentes de malware para actuar como cargadores y puertas traseras en las redes comprometidas. El cargador principal es una nueva variante del malware PowGoop, que consta de un cargador DLL y un descargador basado en PowerShell. El archivo malicioso se hace pasar por un archivo legítimo que está firmado como un archivo ejecutable de Google Update.

Otra forma de malware utilizada en los ataques es Small Sieve, una puerta trasera de Python que disfraza ejecutables maliciosos y usa nombres de archivos y nombres de claves de registro asociados con Windows Defender de Microsoft para evitar la detección mientras ayuda a expandirse en la red comprometida.

Otro malware utilizado en las campañas iraníes incluye Canopy, un script de Windows malicioso distribuido por correos electrónicos de phishing, y Mori, una puerta trasera que utiliza túneles del sistema de nombres de dominio para comunicarse con la infraestructura de control del grupo.

Las agencias también identificaron una nueva puerta trasera de PowerShell descrita como de funcionalidad liviana pero capaz de cifrar las comunicaciones con los servidores de comando y control.

Los piratas informáticos iraníes utilizan una variedad de vulnerabilidades conocidas, que CISA ha detallado en una alerta. Por lo tanto, las organizaciones pueden ayudar a proteger sus redes para que no se vean comprometidas mediante la instalación de actualizaciones de seguridad para los sistemas operativos, el software y el firmware tan pronto como se publiquen. Por supuesto, también se sugiere usar un antivirus y mantenerlo actualizado.

CISA también recomienda el uso de autenticación multifactor siempre que sea posible y limitar el uso de privilegios de administrador para la mayoría de los usuarios; ambas acciones crean barreras adicionales para los atacantes.

También se recomienda que las organizaciones implementen software de control de aplicaciones para limitar las aplicaciones y el código ejecutable que pueden ejecutar los usuarios. Finalmente, los usuarios deben estar capacitados para identificar y reportar ataques de phishing sospechosos.

MÁS SOBRE CIBERSEGURIDAD

Deja un comentario