Aviso sobre amenazas de ciberseguridad:
Share
“Salt Typhoon" causa daños en Norte América
Un grupo de hackers informáticos chino altamente sofisticado nombrado como “Salt Typhoon” ha vulnerado importantes sectores de America del Norte y el sudeste asiático.
¿Cuál es la amenaza?
Salt Typhoon es un grupo de hackers informáticos altamente capacitado que utiliza métodos sofisticados para acceder a las redes y explotar las vulnerabilidades del software. Salt Typhoon es el nombre que Microsoft le dio a este grupo de atacantes con sede en China. Otras empresas de ciberseguridad se encuentran rastreando al adversario como Earth Estries, FamousSparrow, Ghost Emperor o UNC2286.
Salt Typhoon llevo a acabo un ciberataque masivo aprovechando las puertas en las redes de los proveedores de servicio de internet (ISP) de EU especialmente AT&T y Verizon, para atacar los sistemas utilizados para la vigilancia autorizada por los tribunales. Al vulneras estas redes seguras, han obtenido acceso a información altamente clasificada, lo que plantea graves problemas para la infraestructura de vigilancia.
¿Por qué es de relevancia?
Los ataques de Salt Typhoon son una amenaza inmediata a la privacidad de las comunicaciones sensibles y los datos personales. Su ataque a los proveedores de servicios de internet demuestra que incluso los sistemas críticos protegidos pueden verse comprometidos, lo que plantea preocupaciones sobre la seguridad de los datos y el sistema de vigilancia.
Los atacantes adaptan sus tácticas, métodos y procedimientos (TTP) al entorno de la victima investigando a fondo la arquitectura de la red, los comportamientos de los usuarios y los estándares de seguridad. Se centran en las vulnerabilidades conocidas o de día cero en equipos de red visibles públicamente entre ellos encontramos VPN, enrutadores y firewalls, para obtener acceso inicial.
Tras una explotación exitosa, buscan credenciales de administrador, con frecuencia a través de vulnerabilidades de escalada de privilegios o credenciales almacenadas de forma insegura en dispositivos de red para mantener la persistencia. Con credenciales validas, viajan lateralmente a través de la red, atacando controladores de dominio (DC) y extrayendo información vital. El uso de puertas traseras por parte del grupo les permite manipular enrutadores y canales de comunicación, lo que plantea amenazas como la exfiltración de datos y la interrupción de servicios de comunicación esenciales.
¿Cuál es el riesgo?
Las operaciones cibernéticas ilícitas avanzadas de “Salt Typhoon” plantean graves amenazas a los sectores de las telecomunicaciones y la seguridad nacional. Pueden obtener acceso a datos confidenciales, incluidas grabaciones telefónicas y redes de comunicación autorizadas por los tribunales, pirateando los proveedores de servicios de internet (ISP). Esta exposición pone en peligro la privacidad de las comunicaciones al permitir la captura y exfiltración de datos no deseados, y potencialmente interrumpir investigaciones cruciales sobre amenazas a la seguridad nacional.
Además, la capacidad de Salt Typhoon para explotar las debilidades de los enrutadores, las VPN y los Firewalls puede permitir el movimiento lateral a través de las redes. Esto aumenta el potencial de modificación extensiva de los datos después de lograr la escalada de privilegios. El daño a la infraestructura clave amenaza tanto la funcionalidad de los sistemas de comunicación seguros como la confianza pública en los métodos de vigilancia autorizados.
Recomendaciones
Se recomienda realizar las siguientes acciones para proteger su entorno contra posibles ataques:
- Implementación de Firewalls, sistemas de detección y prevención de intrusiones (IDPS) y soluciones de protección de puntos finales para protegerse contra el acceso no autorizado y las actividades maliciosas.
- Programe auditorias de seguridad de rutina y pruebas de penetración para identificar y remediar vulnerabilidades dentro de sus redes.
- Aplique medidas estrictas de control de acceso, incluida la autenticación Multifactor (MFA) y el acceso basado en roles, para limitar la exposición de datos y sistemas confidenciales.
- Realice capacitaciones periódicas para educar a los empleados sobre las mejores prácticas de phishing, ingeniería social y ciberseguridad.
- Cree y actualice periódicamente un plan de respuesta a incidentes para garantizar que su organización este preparada para manejar posibles infracciones de manera eficaz.
- Establezca un plan de protección de datos solido en caso de una infracción.
- Actualice y aplique parches periódicamente a todo el software, los sistemas operativos y las aplicaciones para protegerse contra vulnerabilidades y ataques conocidos.
Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:
- Sitio web: Cobra Networks proveedor de Ciberseguridad en México para las marcas de Barracuda Networks, Censornet, Untangle
- Teléfono: +52(55)5599-0691
- Correo de contacto: ventas@cobranetworks.lat
JR