Los hackers iraníes actúan como Brokers de Acceso Inicial (IAA), vendiendo acceso a organizaciones de infraestructuras críticas en Occidente al postor más alto.
Un aviso de seguridad conjunto publicado recientemente por la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA), junto con el FBI, NSA, la Agencia de Seguridad de Comunicaciones de Canadá (CSE), la Policía Federal Australiana (AFP) y el Centro Australiano de Seguridad Cibernética de la Dirección de Señales Australiana (ASD’s ASCS), afirma que los actores de amenazas iraníes están activamente involucrados en ataques de fuerza bruta (rociado de contraseñas, bombardeo de MFA y similares).
Desde octubre de 2023, estas organizaciones no identificadas han estado apuntando a organizaciones de atención médica y salud pública (HPH), al gobierno, tecnología de la información, ingeniería y sectores energéticos.
Recomendaciones de CISA
Su objetivo es obtener credenciales de acceso y mapear la infraestructura del objetivo. Luego establecen persistencia de varias maneras, incluida la modificación de registros MFA.
Esta información luego se vende en la web oscura. “Las agencias autoras evalúan que los actores iraníes venden esta información en foros cibercriminales a actores que pueden utilizar la información para llevar a cabo actividades maliciosas adicionales,” dice el informe.
Para defenderse contra estos ataques, CISA y sus amigos sugieren que las empresas revisen la gestión de contraseñas de ayuda de TI relacionadas con contraseñas iniciales, restablecimientos de contraseñas para bloqueos de usuarios y contraseñas compartidas. También deben deshabilitar cuentas de usuario y acceso a recursos organizacionales para el personal que se va, implementar un MFA resistente al phishing y revisar continuamente los ajustes de MFA.
Además, deben brindar a sus empleados capacitación básica en ciberseguridad, hacer un seguimiento de los intentos de inicio de sesión fallidos y hacer que los usuarios nieguen solicitudes de MFA que no generaron. Finalmente, deben asegurarse de que los usuarios con cuentas habilitadas para MFA hayan configurado adecuadamente el MFA, asegurarse de que las políticas de contraseñas se alineen con las últimas Pautas de Identidad Digital del NIST y cumplan con la fuerza mínima de la contraseña.
Todas estas se consideran las mejores prácticas de ciberseguridad, concluye CISA, “con el objetivo de reducir significativamente los riesgos tanto para las operaciones de infraestructuras críticas como para el pueblo estadounidense”.