|
|
|
Según una reciente investigación de Talos, la división de ciberinteligencia de Cisco, grupos dedicados al ransomware y ataques de amenazas persistentes avanzadas (APTs) están aprovechando vulnerabilidades en infraestructuras de red obsoletas para llevar a cabo actividades de espionaje y extorsión, ocultándose en las redes corporativas para acceder a información importante.
El estudió advirtió diferencias en las metodologías empleadas por los grupos de ransomware y los ataques APT, destacando la importancia de los dispositivos de red como puntos de acceso críticos para los atacantes. Una vez que logran comprometer un dispositivo, como routers, pueden penetrar y operar en la red afectada.
La modificación del firmware de los dispositivos, la carga de firmware personalizado o comprometido y la evasión de las medidas de seguridad son las tres tácticas post-compromiso más frecuentemente utilizadas por los atacantes. Las APTs, por ejemplo, modifican el firmware de dispositivos antiguos para introducir funcionalidades maliciosas o puertas traseras, lo que les permite ampliar su presencia dentro de la red. En casos donde se requiere mayor acceso, recurren a firmware personalizado o desactualizado que contenga vulnerabilidades conocidas.
Desde Cisco resaltan la complejidad de estos ataques y la necesidad de mantener los dispositivos de red actualizados, así como la importancia de monitorear continuamente el entorno de red para detectar cambios no autorizados. |