Los piratas informáticos iraníes actúan como intermediarios de acceso inicial (IAB), vendiendo acceso a organizaciones de infraestructura crítica en Occidente al mejor postor.
A asesoramiento conjunto de seguridad publicado recientemente por la Agencia de Infraestructura y Ciberseguridad de EE. UU. (CISA), junto con el FBI, la NSA, el Establecimiento de Seguridad de las Comunicaciones de Canadá (CSE), la Policía Federal Australiana (AFP) y el Centro Australiano de Seguridad Cibernética de la Dirección de Señales de Australia (ASCS de ASD), afirma que los actores de amenazas iraníes participan activamente en ataques de fuerza bruta (rociado de contraseñas, Ministerio de Asuntos Exteriores bombardeos de empuje, y similares).
Desde octubre de 2023, estas organizaciones anónimas han estado apuntando a organizaciones de atención médica y de salud pública (HPH), al gobierno, a los sectores de tecnología de la información, ingeniería y energía.
Recomendaciones CISA
Su objetivo es obtener credenciales de inicio de sesióny trazar un mapa de la infraestructura de la víctima objetivo. Luego establecen la persistencia de varias maneras, incluida la modificación de los registros de MFA.
Esta información luego se vende en la web oscura. “Las agencias autoras evalúan que los actores iraníes venden esta información en foros de ciberdelincuentes a actores que pueden utilizar la información para realizar actividades maliciosas adicionales”, dice el informe.
Para defenderse de estos ataques, CISA y sus amigos sugieren que las empresas revisen el servicio de asistencia técnica de TI gestión de contraseñas relacionados con contraseñas iniciales, restablecimientos de contraseñas para bloqueos de usuarios y contraseñas compartidas. También deben deshabilitar las cuentas de usuario y el acceso a los recursos de la organización para el personal saliente, implementar MFA resistente al phishing y revisar continuamente la configuración de MFA.
Además, deberían proporcionar a sus empleados servicios básicos formación en ciberseguridadrealizar un seguimiento de los intentos de inicio de sesión fallidos y hacer que los usuarios rechacen las solicitudes de MFA que no generaron. Finalmente, deben asegurarse de que los usuarios con cuentas habilitadas para MFA hayan configurado MFA adecuadamente, garantizar políticas de contraseña que se alineen con las últimas pautas de identidad digital del NIST y cumplir con la seguridad mínima de la contraseña.
Todas ellas se consideran las mejores prácticas de ciberseguridad, concluye CISA, “destinadas a reducir significativamente los riesgos tanto para las operaciones de infraestructura crítica como para el pueblo estadounidense”.
