Según un nuevo informe, los piratas informáticos asociados con el gobierno iraní están tratando de dificultar que las ciudades de Israel y los estados del Golfo respondan a los ataques con misiles iraníes interrumpiendo sus plataformas Microsoft 365.
Los ataques, que tuvieron lugar en tres ocasiones distintas en marzo, se dirigieron principalmente a organizaciones en Israel (más de 300 objetivos) y los Emiratos Árabes Unidos (aproximadamente 25 objetivos), según investigadores de la empresa israelí de ciberseguridad Check Point Software Technologies. dijo el miercoles.
Los gobiernos municipales fueron el objetivo más común, lo que según Check Point podría deberse a su papel en la respuesta a las secuelas de los ataques con misiles iraníes. Irán ha lanzado miles de misiles y aviones no tripulados contra Israel y otros aliados de Estados Unidos en Medio Oriente desde el comienzo de la guerra con Estados Unidos e Israel el 28 de febrero.
«Observamos cierta correlación entre los objetivos de esta campaña y las ciudades que fueron blanco de ataques con misiles desde Irán durante marzo», escribieron los investigadores de Check Point. «Esto sugiere que la campaña probablemente tenía como objetivo apoyar las operaciones cinéticas y los esfuerzos de Evaluación de Daños de Bombardeo (BDA)».
Los piratas informáticos también atacaron organizaciones en los sectores de energía, transporte y tecnología, y algunos de sus objetivos estaban en Estados Unidos, Reino Unido, Europa y Arabia Saudita, según el informe.
Check Point dijo que tenía una confianza moderada en que la campaña era obra de agentes vinculados a Irán, basándose en parte en la naturaleza de los objetivos y en parte en los datos de registro de M365 que mostraban similitudes con el grupo Grey Sandstorm, vinculado a Irán.
Los ataques de pulverización de contraseñas son la última actividad cibernética maliciosa que los investigadores han atribuido a Irán desde que comenzó la guerra, tras los ataques a el proveedor de dispositivos médicos Stryker, un proveedor de atención médica estadounidense anónimo y el contratista de defensa Lockheed Martin.
La táctica característica de Irán
La campaña utilizó ataques de fuerza bruta a los portales de inicio de sesión de las organizaciones en repetidos intentos de acceder a sistemas con contraseñas débiles y comunes. Este técnica de pulverización de contraseñas es un método de acceso inicial favorito de los actores de amenazas vinculados a Irán; Check Point dijo que ha visto al menos dos grupos usarlo en el pasado.
Los piratas informáticos utilizaron Tor durante sus intentos iniciales de inicio de sesión y otras VPN durante el proceso de infiltración completo después de un inicio de sesión exitoso, lo que hizo más difícil bloquear sus intrusiones utilizando métodos de detección estática.
Consejos a los defensores
Para bloquear los ataques de pulverización de contraseñas, Check Point instó a las organizaciones a revisar los registros de inicio de sesión, aplicar la autenticación multifactor, exigir contraseñas seguras, habilitar registros de auditoría y restringir desde dónde pueden iniciar sesión los usuarios, incluso mediante geofencing y prohibiciones de direcciones IP de Tor.
Monitorear los registros de inicio de sesión puede ayudar a las organizaciones a «identificar patrones de comportamiento de distribución de contraseñas», dijo Check Point, «específicamente múltiples fallas de autenticación en muchas cuentas de usuario distintas que se originan en la misma IP de origen».
El sitio web de Microsoft también proporciona asesoramiento a organizaciones que investigan posibles ataques de pulverización de contraseñas.
Fuente