CISA emite un aviso sobre corredores iraníes que venden acceso a infraestructuras críticas.
El aviso incluye pautas fundamentales para mantener la seguridad.
Actores de amenazas iraníes están operando como proveedores de acceso inicial, ofreciendo acceso a organizaciones de infraestructura crítica en Occidente al mejor postor. Un reciente aviso de seguridad conjunto de diversas agencias de ciberseguridad, incluyendo la Cybersecurity and Infrastructure Agency (CISA) de EE. UU., el FBI, la NSA, así como instituciones canadienses y australianas, revela que estos hackers están realizando ataques de fuerza bruta, como el "password spraying" y la utilización de MFA push bombing, entre otros.
Desde octubre de 2023, los atacantes han centrado su atención en organizaciones del sector de salud y salud pública, además del gobierno, tecnología de la información, ingeniería y energía. Su objetivo principal es obtener credenciales de acceso y mapear la infraestructura de las víctimas, estableciendo persistencia mediante la modificación de registros de MFA. Esta información se comercializa luego en la dark web, donde se estima que se vende a otros actores que podrían llevar a cabo actividades maliciosas adicionales.
Para contrarrestar estos ataques, CISA y sus colaboradores recomiendan que las empresas revisen la gestión de contraseñas en el soporte técnico de IT, implementando prácticas adecuadas para el restablecimiento de contraseñas y la gestión de cuentas compartidas. Además, es esencial desactivar cuentas de usuarios y acceso a recursos organizacionales para el personal que deja la empresa, implementar MFA resistente a phishing, y revisar continuamente la configuración de MFA.
Asimismo, se aconseja proporcionar formación básica en ciberseguridad a los empleados, rastrear intentos de inicio de sesión fallidos y que los usuarios ignoren solicitudes de MFA que no hayan generado. También, se debe asegurar que las cuentas con MFA tengan sus configuraciones correctamente establecidas, así como seguir las políticas de contraseñas alineadas con las últimas NIST Digital Identity Guidelines y cumplir con las exigencias mínimas de fortaleza de contraseñas.
CISA concluye que todas estas acciones son consideradas mejores prácticas de ciberseguridad, con el objetivo de reducir significativamente los riesgos tanto para las operaciones de infraestructura crítica como para la población estadounidense.