Los hackers iraníes se están desempeñando como Corredores de Acceso Inicial (CAI), vendiendo acceso a organizaciones de infraestructura crítica en Occidente al mejor postor.
Un aviso conjunto de seguridad publicado recientemente por la Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA), junto con el FBI, la NSA, el Centro de Seguridad de las Comunicaciones de Canadá (CSE), la Policía Federal Australiana (AFP) y el Centro de Seguridad Cibernética de la Dirección Australiana de Señales (ASD’s ASCS), afirma que los actores de amenazas iraníes están activamente involucrados en ataques de fuerza bruta (rociado de contraseñas, bombardeo de MFA y similares).
Desde octubre de 2023, estas organizaciones no identificadas han estado apuntando a organizaciones de salud y salud pública (HSP), al gobierno, tecnología de la información, ingeniería y sectores energéticos.
Recomendaciones de CISA
Su objetivo es obtener credenciales de inicio de sesión y mapear la infraestructura de la víctima objetivo. Luego establecen persistencia de diversas maneras, incluida la modificación de registros de MFA.
Esta información se vende en la web oscura. “Las agencias autoras evalúan que los actores iraníes venden esta información en foros cibercriminales a actores que pueden utilizar la información para llevar a cabo actividades maliciosas adicionales”, dice el informe.
Para defenderse contra estos ataques, CISA y sus aliados sugieren que las empresas revisen la gestión de contraseñas de helpdesk de TI relacionadas con contraseñas iniciales, restablecimientos de contraseñas para bloqueos de usuarios y contraseñas compartidas. También deben deshabilitar cuentas de usuario y acceso a recursos organizativos para el personal saliente, implementar MFA resistente al phishing y revisar continuamente la configuración de MFA.
Además, deben proporcionar a sus empleados entrenamiento básico en ciberseguridad, rastrear intentos de inicio de sesión fallidos y hacer que los usuarios nieguen solicitudes de MFA que no generaron. Finalmente, deben asegurarse de que los usuarios con cuentas habilitadas para MFA hayan configurado adecuadamente el MFA, garantizar políticas de contraseñas que se alineen con las últimas Directrices de Identidad Digital del NIST y cumplir con la fuerza mínima de la contraseña.
Todas estas prácticas se consideran las mejores prácticas de ciberseguridad, concluye CISA, “con el objetivo de reducir significativamente los riesgos tanto para las operaciones de infraestructura crítica como para el pueblo estadounidense”.
Más de TechRadar Pro