| | |

SolarWinds Ataque Silencioso: alerta de concientización

Más de 18.000 organizaciones fueron víctimas durante meses de una de las mayores filtraciones de datos por una vulnerabilidad de la plataforma Orion – SolarWinds ataque silencioso.

Alerta de Concientización

Sinopsis del Ataque

Nombre: ataque cibernético SolarWinds

Fecha: 13 de diciembre de 2020. Se han producido compromisos confirmados que se remontan a marzo de 2020. La evidencia forense ha revelado que los archivos asociados con este ataque se compilaron desde diciembre de 2019.

Objetivo: compañias Fortune 500 y varias agencias del gobierno de EE. UU.

Localidad: Estados Unidos.

Resumen: SolarWinds, una importante empresa estadounidense de tecnología de la información, fue objeto de un ciberataque que se extendió a sus clientes y pasó desapercibido por meses. Los ataques agregan código malicioso al sistema de software de la empresa llamado “Orion”, ampliamente utilizado por las empresas para administrar los recursos de TI. No solo se trata de una de las mayores infiltraciones de datos en la memoria reciente (más de 18,000 clientes) pero también es una llamada de atención para fortalecer los esfuerzos de los gobiernos y empresas en seguridad cibernética.

Organización criminal sospechosa: El Servicio de Inteligencia Exterior de Rusia, conocido como SVR (fusión del Primer Alto Directorio del KGB y el Departamento Central de Inteligencia de la URSS), es probablemente el responsable del ataque.

Vector de ataque: vulnerabilidades de día cero, relaciones de confianza, problemas de configuración
Algunas versiones del sistema Orion contenían vulnerabilidades de día cero. Las mismas aún no eran conocidas por el fabricante ni el mercado, y los hackers las explotaron para introducir código malicioso. SolarWinds, sin saberlo, envió actualizaciones de software a sus clientes (por la red a través de relaciones de confianza) que incluían el código pirateado. El código creó una puerta trasera para los sistemas de TI del cliente, que luego los hackers utilizaron (aprovechando problemas de configuración) para instalar malware adicional y ayudarles a espiar más empresas y organizaciones.

Referencias: Businessinsider – Solarwinds Hack explained

SolarWinds Ataque Silencioso: Contramedidas sugeridas

  • Aplicar las actualizaciones adecuadas proporcionadas por SolarWinds a los sistemas vulnerables, inmediatamente después de las pruebas correspondientes.
  • Ejecutar todo el software como un usuario sin privilegios (uno sin privilegios administrativos) para disminuir los efectos de un ataque exitoso.
  • Recordar a los usuarios que no deben visitar sitios web que no sean de confianza ni seguir enlaces proporcionados por fuentes desconocidas o no confiables.
  • Informar y educar a los usuarios sobre las amenazas que plantean los enlaces de hipertexto contenidos en correos electrónicos o archivos adjuntos, especialmente de fuentes no confiables.
  • Aplicar el principio de privilegio mínimo a todos los sistemas y servicios relevantes.
  • Escanear los sistemas SolarWinds y aplique las recomendaciones de refuerzo de CIS Benchmarks
  • Continuar monitoreando el entorno en busca de fuentes maliciosas u otras actividades sospechosas.

SolarWinds Ataque Silencioso: Material de Concientización

Frase para Guardar en el Bolsillo

“Hacer de nuestros planes algo oscuro e impenetrable como la noche” – Sun Tzu, El Arte de la Guerra

Si querés conocer más recursos de CiberSergei para estar mejor preparado, te invito a que explores la sección de Hacks de Productividad. Si querés enviar un mensaje a CiberSergei, visita la página de contacto aquí.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *