En su más reciente informe, la Agencia Ciberseguridad y Seguridad de Infraestructura (CISA) reveló que un grupo de actores de amenazas ha logrado esquivar los mecanismos de autenticación multifactor de algunas plataformas de servicios en la nube. La Agencia afirma haber detectado múltiples ataques exitosos contra cuentas de usuarios supuestamente protegidas.
El reporte menciona que “los hackers responsables de esta campaña emplearon una gran variedad de técnicas de ataque, incluyendo el uso de emails de phishing, herramientas de fuerza bruta y robo de cookies para acceder a estos sistemas protegidos con autenticación multifactor.
CISA menciona que, al inicio, los actores de amenazas trataron de acceder a cuentas empresariales en la nube empleando ataques de fuerza bruta, lo cual fue infructífero. No obstante, los actores de amenazas lograron comprometer los sistemas de autenticación multifactor secuestrando una sesión autenticada empleando cookies de sesión robadas para iniciar sesión en servicios en línea o aplicaciones web. Esta variante de ataque se conoce como pass-the-cookie.
Los hackers también habrían aprovechado este acceso para comprometer algunas plataformas de hosting, colocando archivos maliciosos disponibles para descargar. En otros casos también modificaron las reglas de reenvío de algunas cuentas email con el fin de recopilar una gran cantidad de información confidencial de estas cuentas comprometidas.
Aunque había cierta sospecha, finalmente CISA confirmó que esta campaña no está vinculada a los hackers detrás del ataque contra SolarWinds o a cualquier otra campaña de hacking detectada recientemente. Al parecer CISA se refiere a las campañas de ciberataque en las que los actores de amenazas comprometen los dispositivos de los usuarios que trabajan desde casa debido a las restricciones de movilidad por la pandemia.
Los expertos mencionan que, si bien estas cuentas están protegidas con autenticación multifactor, la falta de conocimientos de ciberseguridad adicionales fue determinante para que los hackers lograran su objetivo. En su informe la agencia incluyó algunas recomendaciones para mitigar riesgos similares.
Esta no es la única amenaza detectada por la Agencia recientemente. Hace apenas unos días, CISA emitió otra alerta relacionada con el ataque a múltiples cuentas de SolarWinds, además de la detección de algunos sistemas infectados con el backdoor Sunburst. La Agencia de Seguridad Nacional (NSA) también emitió un comunicado con relación a la falsificación de credenciales para acceder a plataformas en la nube.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.