Este audio se genera automáticamente. Por favor háganos saber si tiene comentario.
Según investigadores de Amazon, un actor de amenazas de habla rusa utilizó IA para planificar, gestionar y realizar ciberataques a organizaciones con firewalls mal configurados en 55 países en enero y febrero.
Los ataques de más de 600 dispositivos Fortinet FortiGate, que ocurrieron entre el 11 de enero y el 18 de febrero, fueron notables porque no explotaron ninguna vulnerabilidad técnica, explicó el equipo de inteligencia de amenazas de Amazon Web Services en una publicación de blog del 20 de febrero.
«En cambio, esta campaña tuvo éxito al explotar los puertos de administración expuestos y las credenciales débiles con autenticación de un solo factor, brechas de seguridad fundamentales que la IA ayudó a un actor poco sofisticado a explotar a escala», escribió en la publicación del blog CJ Moses, director de seguridad de la información de Amazon Integrated Security.
El hacker o los hackers utilizaron múltiples herramientas de IA generativa “implementar y escalar técnicas de ataque conocidas en cada fase de sus operaciones, a pesar de sus capacidades técnicas limitadas”, escribió Moses.
Amazon no cree que el actor de amenazas trabaje para el gobierno ruso, sino que lo describe como “un individuo o un pequeño grupo motivado financieramente que, a través del aumento de la IA, logró una escala operativa que anteriormente habría requerido un equipo significativamente más grande y más capacitado”.
El informe representa la evidencia más reciente de que herramientas de inteligencia artificial puede ayudar hackers poco sofisticados representan serias amenazas a organizaciones que ejecutan dispositivos vulnerables o mal configurados o software inseguro.
En este caso, las herramientas de inteligencia artificial ayudaron al actor de amenazas a ingresar a los entornos de Active Directory de múltiples víctimas, robar bases de datos de contraseñas e intentar infectar sistemas de respaldo, lo que, según Amazon, podría ser una señal de que tenían la intención de lanzar un ataque de ransomware.
«En particular, cuando este actor se encontró con entornos endurecidos o medidas defensivas más sofisticadas, simplemente pasó a objetivos más fáciles en lugar de persistir», escribió Moses, «subrayando que su ventaja radica en la eficiencia y la escala aumentadas por la IA, no en una habilidad técnica más profunda».
Campaña oportunista con ayuda automatizada
El actor de amenazas apuntó a organizaciones de todo el mundo, demostrando poco interés en países o industrias particulares. El único denominador común aparente de los ataques fue el uso por parte de las víctimas de cortafuegos FortiGate con acceso a Internet, dispositivos que ha sido a objetivo frecuente de piratas informáticos en últimos meses. Los archivos que configuran estos dispositivos “representan objetivos de alto valor”, escribió Moses, porque almacenan credenciales de cuentas de administrador, información de diseño de red y otros datos confidenciales.
«El actor de amenazas desarrolló scripts de Python asistidos por IA para analizar, descifrar y organizar estas configuraciones robadas», escribió Moses.
El código identificó redes objetivo, las organizó por tamaño, escaneó puertos para identificar servicios activos y utilizó un escáner de vulnerabilidades de código abierto para crear una lista de objetivos priorizados.
Amazon determinó que la IA ayudó a escribir el código porque tenía características comunes del desarrollo automatizado, incluidos «comentarios redundantes que simplemente reafirman los nombres de las funciones» y «una arquitectura simplista con una inversión desproporcionada en el formato sobre la funcionalidad».
Los scripts funcionaron, escribió Moses, pero “las herramientas carecen de solidez y fallan en casos extremos, características típicas del código generado por IA que se utiliza sin un refinamiento significativo”.
El actor de amenazas utilizó dos herramientas de inteligencia artificial diferentes para diferentes propósitos. Uno sirvió como planificador general de ataques y desarrollador de código, mientras que el otro ayudó al actor de amenazas a pivotar dentro de las redes comprometidas. Cuando los planes del atacante encontraron resistencia, dijo Amazon, tuvieron dificultades para adaptarse, por ejemplo escribiendo un nuevo código de explotación o depurando intentos de intrusión fallidos, una prueba más de su condición de novatos.
Consejos para defenderse de los ataques
Si bien los grupos de estados-nación y las principales bandas de delitos cibernéticos reciben la mayor atención, el informe de Amazon destaca el hecho de que incluso los actores poco sofisticados pueden plantear serias amenazas con la ayuda de la IA.
Los usuarios de FortiGate pueden tomar varias medidas para protegerse, dijo Amazon, incluyendo deshabilitar el acceso a Internet a menos que sea absolutamente necesario, cambiar las contraseñas predeterminadas, implementar autenticación multifactor, escanear en busca de cambios de configuración no autorizados y revisar los registros de conexión VPN para detectar conexiones desde lugares inesperados.
Amazon también enumeró posibles signos de explotación que las organizaciones podrían buscar, incluido el acceso no autorizado a sistemas de respaldo y nuevas cuentas de usuario y tareas programadas diseñadas para parecerse a la actividad legítima de Windows.
Las organizaciones también deben aislar su infraestructura de respaldo de las redes principales para garantizar que siempre tengan un plan de respaldo aislado de posibles interrupciones de ataques cibernéticos, dijo Amazon.
Fuente