Expertos cibernéticos sobre cómo hacer gala de un ataque Nobelio

Los expertos en seguridad han estado compartiendo consejos y orientación después de que la inteligencia recientemente publicada vinculó una serie de intentos de ataques cibernéticos contra objetivos en el canal de TI con Nobelium, el grupo de amenazas persistentes avanzadas (APT) respaldado por el Kremlin que perpetró el ataque cibernético SolarWinds 2020.

El domingo 24 de octubre, Tom Burt de Microsoft, vicepresidente corporativo de seguridad y confianza del cliente, publicó una nueva información sobre el volumen de actividad maliciosa observada que realiza Nobelium.

Burt dijo que el grupo continuó tratando de replicar el enfoque que utilizó en el incidente de SolarWinds al dirigirse a organizaciones dentro de la cadena de suministro de TI global, pero ahora ha pasado de proveedores a revendedores de canal y proveedores de servicios administrados (MSP), particularmente aquellos que se especializan en servicios en la nube.

“Creemos que, en última instancia, Nobelium espera aprovechar cualquier acceso directo que los revendedores puedan tener a los sistemas de TI de sus clientes y hacerse pasar por el socio tecnológico de confianza de una organización para obtener acceso a sus clientes intermedios”, dijo Burt.

“Comenzamos a observar esta última campaña en mayo de 2021 y hemos estado notificando a los socios y clientes afectados al mismo tiempo que desarrollamos nueva asistencia técnica y orientación para la comunidad de revendedores. Desde mayo, hemos notificado a más de 140 revendedores y proveedores de servicios de tecnología que han sido objetivo de Nobelium.

“Seguimos investigando, pero hasta la fecha creemos que hasta 14 de estos revendedores y proveedores de servicios se han visto comprometidos. Afortunadamente, hemos descubierto esta campaña durante sus primeras etapas y estamos compartiendo estos desarrollos para ayudar a los revendedores de servicios en la nube, proveedores de tecnología y sus clientes a tomar las medidas oportunas para ayudar a garantizar que Nobelium no tenga más éxito “.

Burt continuó revelando que entre el 1 de julio y el 19 de octubre de 2021, Microsoft informó a 609 clientes de un total de 22,868 intentos de ataque, un porcentaje muy pequeño de los cuales tuvieron éxito. En comparación, entre el 1 de julio de 2018 y el 1 de julio de 2019, realizó 20,500 notificaciones de clientes sobre ataques de todos los actores estatales que observó.

Más contenido para leer:  Informe revela 'brechas claras' en la red de seguridad de banda ancha del Reino Unido

La mayoría de estos ataques no han intentado explotar fallas o vulnerabilidades de software, sino técnicas probadas y comprobadas como la propagación de contraseñas y el phishing para obtener credenciales válidas.

Burt dijo que esto indica que el estado ruso está tratando de obtener acceso sistémico y a largo plazo a la cadena de suministro de tecnología para llevar a cabo la vigilancia de sus objetivos.

Higiene de la identidad

Sin embargo, Alicia Townsend, evangelista tecnológica de los especialistas en identidad OneLogin, dijo que a pesar del alto volumen de ataques, el hecho de que la tasa de éxito fuera tan baja era motivo de una celebración cautelosa, a pesar de que Microsoft no reveló con precisión cómo se detuvieron los ataques. .

“Dado que el medio de ataque es mediante la propagación de contraseñas y el phishing, deberíamos poder asumir que estas organizaciones han implementado algunas defensas básicas, como la capacitación en seguridad para sus empleados y la necesidad de autenticación multifactor cuando los usuarios inician sesión”, dijo Townsend.

Y Townsend no estaba solo en esta opinión. Otros también hablaron de la importancia de salvaguardar las identidades privilegiadas para protegerse tanto de las intrusiones vinculadas al Nobelio como de otros atacantes. Entre ellos se encontraba Danny Lopez, director ejecutivo del especialista en seguridad de archivos Glasswall.

Para evitar que estos atacantes obtengan acceso privilegiado y causen estragos, las organizaciones deben adoptar procesos sólidos para incorporar y despedir empleados y afiliados que puedan recibir acceso a sistemas de información clave ”, dijo.

“Es vital controlar el acceso privilegiado y monitorear aquellos que disfrutan de ese privilegio de administrador. Asegurarse de que se aplique la autenticación multifactor, siempre que sea posible, es una defensa vital cuando las credenciales de usuario llegan al dominio público. Esto ayudará a limitar el radio de explosión y, en la mayoría de los casos, eliminará la filtración de datos “.

Más contenido para leer:  Cómo Twilio está empoderando a las mujeres en la tecnología

López también dijo que las revelaciones de Microsoft reforzaron el caso de los enfoques de seguridad de confianza cero. “Los ataques recientes y estos nuevos intentos revelan que el enfoque tradicional de castillo y foso para la seguridad de la red deja expuestas a las organizaciones: la seguridad de confianza cero ve el mundo de manera diferente”, dijo.

“No se confía en nadie de forma predeterminada, independientemente de si están dentro o fuera de una red. En un mundo donde los datos se pueden almacenar entre múltiples proveedores de la nube, es crucial fortalecer todos los procesos relacionados con la verificación de acceso. Sin un enfoque de confianza cero, las organizaciones corren el riesgo de que atacantes como Nobelium tengan rienda suelta a través de una red una vez que están dentro “.

Y hay una buena razón para entender bien los conceptos básicos, como señaló el presidente del Gobierno de Cybereason, Sam Curry. Curry dijo que en el caso de un revendedor, las consecuencias del compromiso eran mucho peores, yendo más allá de un simple daño financiero para abarcar toda la reputación de una empresa.

“Aquellos que tienen el privilegio de administrar o brindar servicios a los clientes posteriores tienen una responsabilidad que aumenta exponencialmente para hacer las cosas bien”, dijo Curry. “La seguridad no es solo un diferenciador para ellos, es una necesidad. Administrar clientes es un privilegio, no un derecho, y se puede perder si los revendedores no obtienen esto en este momento “.

Preguntas de responsabilidad

Pero Saket Modi, cofundador y director ejecutivo de Safe Security, dijo que no era necesariamente el caso de que un revendedor de TI o MSP violado debería llevar la lata para un ataque a la cadena de suministro. Argumentó que existía un cierto grado de responsabilidad que también debía recaer en el usuario final.

“Hoy en día, en una relación proveedor / cliente, los clientes delegan derechos administrativos irrestrictos al proveedor para permitir una gestión fluida de los inquilinos de los clientes”, dijo Modi. “La mayoría de las veces, los clientes siguen evaluaciones de gestión de riesgos tradicionales y cualitativas antes de incorporar a un tercero. Los continuos ataques a la cadena de suministro de Nobelium muestran la importancia de cerrar las lagunas en las relaciones de confianza que causan impactos posteriores.

Más contenido para leer:  Reino Unido tiene un año récord para OPI tecnológicas en 2021

“Nobelium ha tenido éxito porque las organizaciones carecen de una visión de seguridad cibernética única, en toda la empresa y en tiempo real, de qué y dónde se encuentran sus vulnerabilidades en las personas, la tecnología y los terceros (cadena de suministro).

“Para gestionar de forma eficaz los riesgos de seguridad de terceros en la actualidad, las organizaciones deben ir más allá de un cuestionario y solo un enfoque externo, y tener un análisis de riesgos coherente de adentro hacia afuera y en tiempo real de terceros para comprender mejor su postura de riesgo y vulnerabilidades críticas “.

Efectos de goteo

Si bien los ataques de ransomware por parte de ciberdelincuentes motivados financieramente que derrochan sus ganancias en superdeportivos italianos pueden parecer más glamorosos, los ataques a la cadena de suministro ahora se están convirtiendo en la mayor amenaza porque pueden armarse fácilmente para realizar intrusiones mucho más profundas y duraderas, como Arctic Wolf. El director de tecnología de campo, Ian McShane, señaló.

“La higiene de la cadena de suministro merece la misma planificación y previsión [as ransomware]”, Dijo McShane. “Específicamente a esta revelación sobre Nobelium, una tendencia preocupante que estamos viendo en la seguridad cibernética es la disponibilidad y accesibilidad continua de sofisticadas hazañas desarrolladas por estados nacionales para grupos de delitos electrónicos, extendiéndose así con un radio mucho mayor.

“Lo que es preocupante sobre este incidente de la cadena de suministro y el informe de Microsoft es que las vulnerabilidades que se extienden hacia los MSP y los proveedores de TI pueden resultar en amenazas latentes en los próximos años, y sin un enfoque significativo en descubrir y remediar los sistemas afectados, podemos ver varios actores de amenazas, estados nacionales o grupos de delitos electrónicos, explotan esas vulnerabilidades “.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales