Cientos de credenciales de operadores de red encontradas circulando en la Dark Web

Tras el reciente incidente de Orange España y la filtración de credenciales del portal RIPE NCC, que provocó una importante caída, la comunidad de la ciberseguridad necesita reconsiderar la protección de la identidad digital del personal dedicado a la ingeniería de redes y la gestión de infraestructuras TI. Sin duda, este grupo de objetivos es muy buscado por actores maliciosos debido a su acceso privilegiado dentro del ecosistema empresarial.

Resecurity realizó un seguimiento exhaustivo de la Dark Web y descubrió más de 1572 clientes de RIPE, APNIC, AFRINIC y LACNIC que se vieron comprometidos debido a la actividad de malware que involucraba a conocidos ladrones de contraseñas como Redline, Vidar, Lumma, Azorult y Taurus. Se descubrió que estas cuentas comprometidas estaban a la venta en mercados clandestinos. Esta cifra también incluye registros históricos y artefactos identificados en enero de 2024, luego de un análisis de los servidores de Comando y Control (C2). Los datos recopilados se compartieron rápidamente con las organizaciones de telecomunicaciones y las partes afectadas para una mayor mitigación de riesgos.

Los expertos en ciberseguridad describieron los riesgos que se originan cuando los actores de la Dark Web aprovechan las credenciales comprometidas de ingenieros de ISP/Telecomunicaciones, técnicos de centros de datos, ingenieros de redes, administradores de infraestructura de TI y empresas de subcontratación (que administran redes para sus clientes empresariales).

Sorprendentemente, en ciertos casos, las credenciales se ofrecían en mercados clandestinos por tan sólo 10 dólares. Un riesgo importante implica que los intermediarios de acceso inicial colaboren con grupos de ransomware o ciberdelincuentes sofisticados. Podrían comprar credenciales pertenecientes a un ingeniero de redes comprometido de un ISP indonesio y luego utilizarlas para orquestar un ataque mayor como el incidente de Orange España. Además, se descubrió que algunos actores independientes vendían credenciales RIPE a un precio más alto, incluidas cookies, acceso proxy o acceso remoto a través de código malicioso instalado en el sistema de la víctima. Una vez obtenido dicho acceso, dependiendo de los privilegios del usuario, el actor malicioso podría emplear tácticas similares a las vistas en el escenario de Orange España.

Como ejemplo de cuentas RIPE comprometidas, Resecurity describió las credenciales de acceso comprometidas que pertenecen a un importante centro de datos y uno de los proveedores más grandes que brinda conectividad de telefonía de red a escala internacional a proveedores de telecomunicaciones gubernamentales y nacionales en África. Otras víctimas identificadas estaban asociadas con organizaciones importantes, entre ellas:

Organización de investigación científica de Irán;
Importante organización financiera de Kenia;
Una de las empresas de consultoría de TI más grandes de Azerbaiyán, conocida por ofrecer servicios como telecomunicaciones, redes integradas y soluciones en la nube a empresas y entidades gubernamentales;
Una importante organización financiera en España;
Uno de los mayores proveedores de juegos de azar de la UE;
Proveedor de tecnología TIC con sede en Arabia Saudita;
Un operador de satélites de comunicaciones israelí;
Una agencia gubernamental de Irak;
Un intercambio de Internet (IXP) sin fines de lucro, establecido en Riffa, ubicado en la gobernación sur de Bahréin.

Las acciones de los malos actores van más allá del simple robo de credenciales. Al acceder a la configuración de la red, pueden alterar las configuraciones existentes o introducir elementos engañosos, lo que podría causar estragos en la infraestructura empresarial. Estas modificaciones no autorizadas podrían provocar graves interrupciones en el servicio y violaciones de seguridad, lo que subraya la necesidad crítica de una mayor vigilancia y protocolos de seguridad sólidos para salvaguardar los activos digitales.

En particular, algunos de los registros identificados en los conjuntos de datos adquiridos han estado involucrados anteriormente en importantes incidentes de ciberseguridad. Por ejemplo, AlfaNet, ISP con sede en Gaza, se vio significativamente afectado por interrupciones en el punto álgido del conflicto entre Israel y Gaza en octubre. En ese momento, los atacantes emplearon múltiples tácticas, incluidos ataques DDoS, pero se consideraron plausibles escenarios parecidos al incidente de Orange España. Otras víctimas incluyeron empresas de Fortune 500, universidades destacadas, operadores inalámbricos/móviles e ISP regionales.

Significativamente, la mayoría de los administradores de red (identificados como comprometidos) que administraban redes utilizaron correos electrónicos registrados con proveedores gratuitos, incluidos Gmail, GMX y Yahoo. Estos detalles podrían ser muy valiosos para los grupos de ciberespionaje que se centran en objetivos específicos, como los administradores de red y su círculo de contactos. Adquirir información sobre sus correos electrónicos personales podría conducir a campañas más sofisticadas y mejorar la probabilidad de un reconocimiento exitoso.

Resecurity ha notificado a las víctimas que las credenciales de los portales de clientes de RIPE, APNIC, AFRINIC y LACNIC fueron comprometidas por ladrones de contraseñas y expuestas en la Dark Web. A partir de los comentarios recopilados, los expertos en ciberseguridad elaboraron las siguientes estadísticas:

El 45% no estaba al tanto de las credenciales comprometidas identificadas y reconoció el cambio de contraseña exitoso y habilitó 2FA;
El 16% ya conocía las credenciales comprometidas identificadas como resultado de una infección por código malicioso e hizo el cambio de contraseña necesario y habilitó 2FA en sus cuentas;
El 14 % estaba al tanto de las credenciales comprometidas, pero habilitó la 2FA solo después de la notificación (recibió una declaración por escrito);
El 20% reconoció la necesidad de realizar una investigación más profunda del incidente que llevó a comprometer las credenciales; por ejemplo, algunos de los destinatarios reconocieron que 2FA estaba habilitado, pero no sabían cómo y cuándo exactamente se había producido el compromiso, y qué credenciales (para otras aplicaciones y sistemas) podrían ser exfiltradas por el ladrón de contraseñas de la víctima;
El 5 % de los destinatarios no pudieron proporcionar ningún comentario ni intentar identificar puntos de contacto relevantes en su organización para revisar este problema.

Las estadísticas recopiladas pueden confirmar cómo el personal involucrado en la ingeniería de redes y las operaciones de gestión de TI de misión crítica puede ser víctima de códigos maliciosos. En perspectiva, sus cuentas (cuando están comprometidas) pueden actuar como “fruta madura” para ataques cibernéticos masivos, pero también como un excelente criterio de selección para actores maliciosos sofisticados.

Por ejemplo, varias víctimas, en particular ingenieros de redes identificados en los conjuntos de datos adquiridos de la Dark Web, también vieron comprometidas sus credenciales de gestión de acceso e identidad empresarial (IAM), sistemas de virtualización, varios proveedores de nube y soluciones de respaldo y recuperación ante desastres. Resecurity enfatizó la importancia crítica de un programa sólido de protección de identidad digital para que los operadores de telecomunicaciones salvaguarden su infraestructura y sus clientes.

Fuente y redacción: helpnetsecurity.com

Vulnerabilidad crítica de RCE encontrada en el software Apache OFBiz ERP: Parchar ahora

La nueva falla de TsuNAME podría permitir que los atacantes eliminen servidores DNS autorizados

La red de bots Zerobot surge como una amenaza creciente con nuevos exploits y capacidades