Blog

Grupos ATPs patrocinados por el Estado Iraní, estaría apuntando al sector IT

Microsoft afirma que diferentes grupos de actores de amenazas respaldados por el estado de Irán, han intentado comprometer cada vez más a las empresas de servicios informáticos en el presente año, cuyos objetivos son el robo credenciales, los cuales podrían ser utilizados para vulnerar los sistemas de los clientes.

Según los analistas de seguridad del Centro de Inteligencia de Amenazas de Microsoft (MSTIC) y de la Unidad de Seguridad Digital (DSU), esta actividad forma parte de un objetivo de espionaje más amplio para comprometer entidades de interés para el régimen iraní.

«Esta actividad es notable porque apuntar a terceros tiene el potencial de explotar organizaciones más sensibles aprovechando la confianza y el acceso en una cadena de suministro… Microsoft ha observado múltiples actores de amenazas iraníes que apuntan al sector de servicios de TI en ataques que tienen como objetivo robar credenciales de inicio de sesión pertenecientes a las redes de clientes descendentes para permitir nuevos ataques

Redmond ha enviado más de 1.600 notificaciones para alertar a más de 40 empresas de TI de intentos de hackeos coordinados por grupos APT iraníes. Esto muestra un aumento asombroso en comparación con 2020, cuando Microsoft solo envió 48 notificaciones en todo el año. La mayoría de estos ataques se centran en empresas de servicios informáticos de la India, y algunos de ellos también se dirigen a varias empresas con sede en Israel y los Emiratos Árabes Unidos.

Notifications sent to IT services companies

Como reveló Microsoft, dos grupos de hackers iraníes Identificados como: DEV-0228 y DEV-0056 lograron vulnerar a diferentes empresas del sector TI de Israel y Bahrein en julio y septiembre del presente año:

  • En Julio de 2021, el MSTIC rastrea como DEV-0228 y que considera que es un grupo APT con sede en Irán, aquel grupo comprometió a una única empresa de TI con sede en Israel que proporciona software de gestión empresarial. Según la evaluación de MSTIC, DEV-0228 utilizó el acceso a esa empresa de TI para ampliar sus ataques y poner en peligro a clientes de los sectores de defensa, energía y legal en Israel.

  • En Septiembre, detectamos que otro grupo iraní, DEV-0056, comprometiendo las cuentas de correo electrónico de una empresa de integración de TI con sede en Bahréin que trabaja en la integración de TI con clientes del Gobierno de Bahréin, que probablemente eran el objetivo final de DEV-0056. DEV-0056 también comprometió varias cuentas en una organización parcialmente gubernamental de Oriente Medio que proporciona tecnología de la información y las comunicaciones a los sectores de defensa y transporte, que son objetivos de interés para el régimen iraní. DEV-0056 mantuvo su persistencia en la organización de integración de tecnologías de la información al menos hasta octubre.

Los actores de la amenaza iraní han estado en el punto de mira durante las dos últimas semanas, con varios avisos e informes que advierten de la actividad iraní dirigida a organizaciones de todo el mundo, con fines de realizar trabajos de ciber-espionaje a industrias estrategias para el régimen de Irán.

Las diferentes agencias de ciberseguridad de Estados Unidos, Reino Unido y Australia advirtieron el jueves de la explotación en curso de las vulnerabilidades de Microsoft Exchange ProxyShell y Fortinet, vinculadas a un grupo de hackers patrocinado por Irán y a ataques de ransomware. Un día antes, el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) reveló que seis grupos de hackers iraníes han comenzado a desplegar ransomware y a exfiltrar datos de los sistemas de las víctimas a partir de septiembre de 2020.

Ransomware attacks by Iranian APTs

Y finalmente, también el FBI advirtió en una notificación de la industria privada TLP:AMBER (PIN) de un actor de la amenaza iraní que intenta comprar información robada asociada a organizaciones estadounidenses y de todo el mundo a partir de fuentes de la web clara y oscura que podría ser utilizada para violar sus sistemas de nuevo.

Más información

https://www.microsoft.com/security/blog/2021/11/18/iranian-targeting-of-it-sector-on-the-rise/

https://us-cert.cisa.gov/ncas/alerts/aa21-321a

https://us-cert.cisa.gov/ncas/current-activity/2021/11/17/iranian-government-sponsored-apt-cyber-actors-exploiting-microsoft

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required