El operador de red móvil Orange España sufrió una interrupción de internet durante varias horas el 3 de enero después de que un actor amenazante utilizara credenciales de administrador capturadas mediante el malware ladrón para secuestrar el tráfico del protocolo de gateway fronterizo (BGP).
«La cuenta de Orange en el centro coordinador de red IP (RIPE) ha sufrido un acceso indebido que ha afectado la navegación de algunos de nuestros clientes», dijo la compañía en un mensaje publicado en X (anteriormente Twitter).
Sin embargo, la empresa enfatizó que no se comprometieron datos personales y que el incidente solo afectó algunos servicios de navegación.
El actor de amenazas, que se hace llamar Ms_Snow_OwO en X, afirmó haber accedido a la cuenta de RIPE de Orange España. RIPE es un registro regional de Internet (RIR) que supervisa la asignación y registro de direcciones IP y números de sistema autónomo (AS) en Europa, Asia Central, Rusia y Asia Occidental.
«Utilizando la cuenta robada, el actor de amenazas modificó el número AS que pertenece a la dirección IP de Orange, lo que provocó importantes interrupciones en Orange y una pérdida del 50% del tráfico», dijo la firma de ciberseguridad Hudson Rock.
Un análisis posterior ha revelado que la dirección de correo electrónico de la cuenta de administrador está asociada con el ordenador de un empleado de Orange España que fue infiltrado por el malware Raccoon Stealer el 4 de septiembre de 2023.
Actualmente, se desconoce cómo el ladrón llegó al sistema del empleado, pero las familias de malware como ésta suelen propagarse a través de malvertising o estafas de phishing.
«Entre las credenciales corporativas identificadas en la máquina, el empleado tenía credenciales específicas para ‘https://acceso.ripe.net’ usando la dirección de correo electrónico que reveló el actor de amenazas (adminripe-ipnt@orange.es)», agregó la compañía.
Aún peor, la contraseña utilizada para asegurar la cuenta de administrador de RIPE de Orange era «ripeadmin», que es débil y fácilmente predecible.
El investigador de seguridad Kevin Beaumont también señaló que RIPE no exige la autenticación en dos factores (2FA) ni impone una política de contraseñas fuertes para sus cuentas, lo que lo hace propenso a abusos.
«Actualmente, los mercados de malware ladrón están vendiendo miles de credenciales para acceder a acceso.ripe.net, lo que le permite repetir esto en organizaciones y proveedores de servicios de Internet (ISPs) en toda Europa», dijo Beaumont.
RIPE, que actualmente está investigando para ver si otras cuentas han sido afectadas de manera similar, dijo que se comunicará directamente con los titulares de cuentas afectadas. También ha instado a los usuarios de cuentas de acceso de RIPE NCC a actualizar sus contraseñas y habilitar la autenticación en múltiples factores para sus cuentas.
«A largo plazo, estamos acelerando la implementación de 2FA para que sea obligatoria para todas las cuentas de acceso de RIPE NCC lo antes posible e introducir una variedad de mecanismos de verificación», agregó.
Este incidente resalta las consecuencias de las infecciones del malware ladrón y demuestra la necesidad de que las organizaciones tomen medidas para proteger sus redes de los vectores de ataque iniciales conocidos.
