La pulverización de contraseñas es un tipo de ataque de fuerza bruta en el que un atacante intenta obtener acceso a varias cuentas de usuario probando una pequeña cantidad de contraseñas que son comunes a muchos nombres de usuario.
Este método es útil porque evita activar un bloqueo de cuenta, que normalmente ocurre cuando se intentan varias contraseñas incorrectas para una cuenta.
El equipo de Microsoft Threat Intelligence descubrió recientemente que los piratas informáticos chinos están atacando activamente a los clientes de Microsoft con sofisticados ataques de pulverización de contraseñas.
Hackers chinos atacan a clientes de Microsoft
Desde “agosto de 2023”, un atacante chino apodado “Storm-0940” ha estado utilizando la red de enrutadores SOHO comprometidos de TP-Link para dirigir ciberataques sofisticados.
Todos estos se denominan colectivamente “CovertNetwork-1658” (también conocidos como “xlogin” y “Quad7”).
La red funciona explotando vulnerabilidades en los enrutadores para obtener la funcionalidad RCE, después de lo cual el actor de la amenaza puede implementar un “binario Telnet” que se ejecuta en los puertos TCP “7777” y “11288”, una “puerta trasera xlogin”. , Instale herramientas específicas como “SOCKS5 Server”.
Cree un SOC interno o subcontrate SOC como servicio -> Calcule el costo
Los actores de amenazas utilizan una sofisticada técnica de evasión llamada “ataque de pulverización de contraseñas”. El ataque utiliza miles de “direcciones IP rotativas” con un tiempo de actividad promedio de “90 días” e intentos mínimos de inicio de sesión en múltiples cuentas para evitar la detección.
Estas credenciales filtradas se utilizaron para atacar a varias organizaciones conocidas en América del Norte y Europa.
La organización es la siguiente:-
Agencias gubernamentales Think tanks ONG Bufetes de abogados Bases industriales de defensa
Después de las revelaciones públicas de proveedores de seguridad como “Sekoia” y “Team Cymru” a mediados de 2024, el uso de la infraestructura original disminuyó significativamente.
Sin embargo, Microsoft estima que los atacantes probablemente estén utilizando “huellas dactilares alteradas” para adaptar su infraestructura para continuar con las operaciones.
El monitoreo de seguridad de Microsoft ha identificado una red de amenazas cibernéticas avanzada conocida como 'CovertNetwork-1658'. La red mantiene un control continuo de 8.000 computadoras comprometidas, y aproximadamente el 20% de estos dispositivos ejecutan ataques de pulverización de contraseñas al mismo tiempo.
La infraestructura de esta red es utilizada por el actor de amenazas chino Storm-0940, que ha demostrado una operación increíblemente eficiente en la que las credenciales comprometidas se explotan el mismo día en que son robadas.
Pasos tomados para preparar el enrutador para la operación de pulverización de contraseña (Fuente: Microsoft)
Aquí, los atacantes utilizan identificadores de navegador específicos (cadenas de agentes de usuario) para realizar ataques como “Mozilla/5.0” para sistemas Windows 10 con los navegadores “Chrome” e “Internet Explorer”.
Una vez que Storm-0940 utiliza estas credenciales robadas para obtener acceso inicial a la red de la organización objetivo, adopta un enfoque sistemático.
Primero, utilice la herramienta de volcado de credenciales para el movimiento lateral. Luego instala herramientas proxy y troyanos de acceso remoto para mantener un acceso persistente. Finalmente, intenta extraer datos confidenciales de la organización comprometida.
Esto afecta a “múltiples sectores” y “regiones geográficas de todo el mundo”.
Recomendaciones
Todas las recomendaciones se enumeran a continuación: –
Educar sobre la higiene de las credenciales y evitar la reutilización de contraseñas. Hacer cumplir la MFA en todas partes. Eliminar exclusiones. Vaya sin contraseña. Proteja RDP y escritorios virtuales mediante MFA. Habilite la opción sin contraseña si es compatible. Deshabilite la autenticación tradicional. Detecte amenazas utilizando la seguridad de identidad en la nube. Deshabilite las cuentas no utilizadas. Restablezca la contraseña de la cuenta de destino. Aplique Azure Security Benchmark para la seguridad de la identidad. Configurar políticas de acceso condicional. Bloquee la autenticación heredada a través de Azure AD. Habilite el bloqueo de extranet para protección por fuerza bruta. Utilice privilegios mínimos y audite cuentas privilegiadas. Implemente la supervisión de ADFS mediante Azure AD Connect Health. Bloquee contraseñas débiles con protección de Azure AD. Habilite la protección de identidad para el monitoreo de riesgos. Capacite a sus usuarios sobre el phishing y la fatiga de MFA. Revise la política de detección de anomalías de Defender.
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!
