Publicado el por Deja un comentario

Impostor a sueldo: Cómo personas falsas pueden obtener acceso muy real

Impostor a sueldo: Cómo personas falsas pueden obtener acceso muy real

Gráfico decorativo

Por: Microsoft Incident Response.

En la última edición de nuestra Serie de Ciberataques, profundizamos en un caso real de empleados falsos. Los ciberdelincuentes ya no solo se cuelan en redes, sino que acceden haciéndose pasar por empleados legítimos. Esta forma de ciberataque implica que operativos se hagan pasar por contrataciones legítimas a distancia, para saltar los controles de recursos humanos y procesos de incorporación y así obtener acceso confiable. Una vez dentro, explotan sistemas corporativos para robar datos sensibles, desplegar herramientas maliciosas y canalizar beneficios hacia programas patrocinados por el Estado. En este blog, analizamos cómo se desarrolló este ciberataque, las tácticas empleadas y cómo Microsoft Incident Response —el Equipo de Detección y Respuesta (DART, por sus siglas en inglés)— intervino con rapidez con conocimientos forenses y orientación aplicable. Descarguen el informe completo para saber más.

Obtengan servicios de respuesta basados en inteligencia con Microsoft Incident Response

Perspectiva

Investigaciones recientes de Gartner revelan que los empleadores encuestados informan que están cada vez más preocupados por el fraude de candidatos. Gartner predice que para 2028, uno de cada cuatro perfiles de candidatos en todo el mundo será falso, con posibles repercusiones en la seguridad mucho más allá de tan solo hacer «una mala contratación».1

¿Qué pasó?

Lo que comenzó como una incorporación rutinaria se convirtió en una operación encubierta. En este caso, se descubrieron cuatro cuentas de usuario comprometidas que conectaban dispositivos PiKVM a estaciones de trabajo asignadas por el empleador, hardware que permite el control remoto completo como si el actor de la amenaza estuviera presente de manera física. Esto permitía a terceros desconocidos eludir los controles de acceso normales y extraer datos sensibles directo de la red. Con el apoyo de Microsoft Threat Intelligence, rastreamos de manera rápida la actividad hasta la fuerza de trabajo remota de TI norcoreana conocida como Jasper Sleet.

TÁCTICA

Los dispositivos TACTIC PiKVM—herramientas de acceso remoto basadas en hardware y de bajo coste—se utilizaron como canales de salida. Estos dispositivos permitieron a los actores amenazantes mantener acceso persistente y fuera de banda a los sistemas, saltándose los controles tradicionales de detección y respuesta de endpoint (EDR, por sus siglas en inglés). En un caso, una identidad vinculada a Jasper Sleet se autenticó en el entorno mediante PiKVM, lo que permitió la exfiltración encubierta de datos.

DART pasó con rapidez de la caza proactiva de amenazas a una investigación a gran escala, a través del aprovechamiento de numerosas herramientas y técnicas especializadas. Estas incluían, pero no se limitaban a, Cosmic y Arctic para análisis de Azure y Active Directory, Fennec para la recopilación forense de pruebas en múltiples plataformas de sistemas operativos, y telemetría de protección de Microsoft Entra ID y las soluciones de Microsoft Defender para aplicaciones de endpoint, identidad y nube. En conjunto, estas herramientas y capacidades ayudaron a rastrear la intrusión, contener la amenaza y restaurar la integridad operativa.

¿Cómo respondió Microsoft?

Una vez que se clarificó el alcance del compromiso, DART actuó de inmediato para contener y desestabilizar el ciberataque. El equipo deshabilitó cuentas comprometidas, restauró los dispositivos afectados para que hicieran copias de seguridad limpias y analizó los Registros Unificados de Auditoría —una función de Microsoft 365 dentro del portal Microsoft Purview Compliance Manager— para rastrear los movimientos del actor amenazante. Se desplegaron herramientas avanzadas de detección, incluidas Microsoft Defender for Identity y Microsoft Defender for Endpoint, para descubrir movimientos laterales y mal uso de credenciales. Para frenar la campaña más amplia, Microsoft también suspendió miles de cuentas vinculadas a operativos de TI norcoreanos.

¿Qué pueden hacer los clientes para reforzar sus defensas?

Esta ciberamenaza es desafiante, pero no es insuperable. Al combinar prácticas sólidas de centros de operaciones de seguridad (SOC, por sus siglas en inglés) con estrategias de riesgo interno, las empresas pueden cerrar las brechas que explotan los actores amenazantes. Muchas organizaciones comienzan con mejoras en la visibilidad, mediante la integración de Microsoft 365 Defender y Unified Audit Log, y la protección de datos sensibles con las políticas de Prevención de Pérdidas de Datos de Microsoft Purview. Además, Microsoft Purview Insider Risk Management puede ayudar a las organizaciones a identificar conductas de riesgo antes de que se agraven, mientras que la estricta verificación previa al empleo y la aplicación del principio de privilegio mínimo reducen la exposición desde el principio. Por último, vigilen si existen herramientas informáticas no aprobadas como dispositivos PiKVM y manténganse informados a través del panel de Análisis de Amenazas en Microsoft Defender. Estas prácticas de ciberseguridad y estrategias del mundo real, junto con una gestión proactiva de alertas, pueden dar a sus defensores la confianza para detectar, interrumpir y prevenir ataques similares.

¿Qué es la Serie de Ciberataques?

En nuestra Serie de Ciberataques, los clientes descubren cómo DART investiga ataques únicos y destacados. Para cada historia de ciberataque, compartimos:

  • Cómo ocurrió el ciberataque.
  • Cómo se descubrió la brecha.
  • La investigación y desahucio de Microsoft al actor amenazante.
  • Estrategias para evitar ciberataques similares.

DART está formado por investigadores, investigadores, ingenieros y analistas con altas cualificaciones, que se especializan en la gestión de incidentes de seguridad globales. Estamos aquí para clientes con expertos dedicados que trabajen con ustedes antes, durante y después de un incidente de ciberseguridad.

Descarguen el informe completo sobre ciberataques

Conozcan más

Para obtener más información sobre las capacidades de DART, por favor visiten nuestra página web o contacten a su gestor de cuentas de Microsoft o a su contacto de Premier Support. Para saber más sobre los incidentes de ciberseguridad descritos arriba, incluida más información sobre cómo proteger su propia organización, descarguen el informe completo.

Para saber más sobre las soluciones de seguridad de Microsoft, visiten nuestra página web. Agreguen el blog de Seguridad a sus Favoritos  para estar al día con nuestra cobertura experta sobre temas de seguridad. Además, síganos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para las últimas noticias y actualizaciones sobre ciberseguridad.

1La IA alimenta la desconfianza entre empleadores y candidatos a empleo; los reclutadores se preocupan por el fraude, los candidatos temen el sesgo

Etiquetas:

The post Impostor a sueldo: Cómo personas falsas pueden obtener acceso muy real appeared first on Source LATAM.

 

​The post Impostor a sueldo: Cómo personas falsas pueden obtener acceso muy real appeared first on Source LATAM.  

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *