Los operadores del Servicio de Inteligencia Exterior de Rusia (SVR) han cambiado sus ataques para atacar nuevas vulnerabilidades en reacción a las advertencias del gobierno de EE. UU. Publicadas el mes pasado con información sobre tácticas, herramientas, técnicas y capacidades de SVR utilizadas en ataques en curso.
La advertencia se produce después de que los gobiernos de EE. UU. Y Reino Unido atribuyeran formalmente el ataque a la cadena de suministro de SolarWinds y el objetivo del desarrollador de la vacuna COVID-19 a los esfuerzos de ciberespionaje de los operadores rusos SVR (también conocido como APT29, Cozy Bear y The Dukes) el 15 de abril.
El mismo día, la NSA, CISA y el FBI informaron a las organizaciones y proveedores de servicios sobre las cinco vulnerabilidades principales explotadas en los ataques de SVR contra los intereses estadounidenses.
En un tercer aviso emitido el 26 de abril, el FBI, el DHS y la CIA advirtieron sobre los continuos ataques coordinados por la SVR rusa contra las organizaciones estadounidenses y extranjeras.
Las agencias federales de EE. UU. Señalaron que los operadores de SVR comúnmente usan la propagación de contraseñas, explotan la vulnerabilidad CVE-2019-19781 para obtener acceso a la red e implementan malware WELLMESS en sistemas comprometidos.
Respuesta de la SVR rusa a las advertencias de EE. UU. Y el Reino Unido
Hoy, en un nuevo aviso de seguridad conjunto NCSC (Reino Unido) -CISA-FBI-NSA [PDF], se advierte a los defensores de la red que apliquen parches a los sistemas lo antes posible para igualar la velocidad con la que los piratas informáticos del estado ruso SVR ya cambiaron de objetivo tras los avisos de abril. .
«Los operadores cibernéticos de SVR parecen haber reaccionado […] cambiando sus TTP en un intento de evitar más esfuerzos de detección y reparación por parte de los defensores de la red», según el aviso conjunto de hoy entre Estados Unidos y el Reino Unido.
Estos cambios incluyeron el despliegue de la herramienta de código abierto Sliver en un intento por mantener sus accesos.
Los ciberespías rusos también han comenzado a buscar servidores de Microsoft Exchange expuestos a ataques de ProxyLogon dirigidos al CVE-2021-26855 .
iAcunetix es una solución integral de seguridad de aplicaciones web que le ayuda a abordar las vulnerabilidades en todos sus activos web críticos.
Asesoramiento y orientación sobre mitigación
«El SVR apunta a organizaciones que se alinean con los intereses de inteligencia extranjera de Rusia, incluidos objetivos gubernamentales, de grupos de expertos, políticos y energéticos, así como objetivos con plazos más definidos, por ejemplo, la vacuna contra COVID-19 en 2020», se lee en el aviso conjunto. .
«Los defensores de la red deben asegurarse de que los parches de seguridad se apliquen inmediatamente después de los anuncios de CVE para los productos que administran».
Se insta a las organizaciones gubernamentales y privadas en riesgo a seguir los consejos de mitigación y la orientación compartidos en el aviso conjunto y utilizar las reglas de detección de Snort y YARA en el apéndice para detectar y defenderse de la actividad de SVR rusa en curso.
A continuación, puede encontrar un resumen rápido de importantes medidas de mitigación para defenderse de estos ataques en curso:
Administrar y aplicar actualizaciones de seguridad lo más rápido posible ayudará a reducir la superficie de ataque disponible para los actores de SVR y los obligará a utilizar herramientas de mayor equidad para afianzarse en las redes.
Al implementar buenos controles de seguridad de la red y administrar de manera efectiva los privilegios de los usuarios, las organizaciones ayudarán a prevenir el movimiento lateral entre hosts. Esto ayudará a limitar la efectividad incluso de ataques complejos.
Detectar ataques a la cadena de suministro, como el compromiso de Mimecast, siempre será difícil. Una organización puede detectar este tipo de actividad a través de metodologías de detección heurísticas, como el volumen de correos electrónicos a los que se accede o identificando tráfico IP anómalo.
Las organizaciones deben garantizar que se habilite y almacene un registro suficiente (tanto en la nube como en las instalaciones) durante un período de tiempo adecuado para identificar las cuentas comprometidas, el material extraído y la infraestructura del actor.
Utilice la acción de auditoría de buzones de correo de Microsoft llamada ‘MailItemsAccessed’ para investigar el compromiso de las cuentas de correo electrónico e identificar los correos electrónicos a los que acceden los usuarios. Esto brinda a las organizaciones una defensa forense para ayudar a afirmar qué correos individuales fueron o no fueron accedidos maliciosamente por un atacante.
CISA también publicó hoy un resumen de las estrategias de mitigación [PDF] compartidas en los avisos conjuntos emitidos durante el último mes para ayudar a proteger las redes contra los ataques SVR rusos.
Fuente:bleepingcomputer.com
