La Agencia de Ciberseguridad e Infraestructura (CISA) ha informado que una organización estatal gubernamental fue atacada a través de una cuenta de administrador antigua. El atacante utilizó la VPN de la víctima y una Máquina Virtual (VM) para evadir la detección. Se sospecha que el atacante obtuvo las credenciales a través de otra violación de datos. Los atacantes accedieron a otras credenciales almacenadas en el servidor, lo que les permitió explorar el entorno local y ejecutar varios protocolos LDAP en un controlador de dominio. La investigación no mostró evidencia de que el adversario se trasladó a la infraestructura en la nube de Azure. Los atacantes finalmente accedieron a información de usuarios y hosts y publicaron los datos en la web oscura, probablemente por motivos financieros. La organización tuvo que restablecer todas las contraseñas de los usuarios, deshabilitar la cuenta del administrador y eliminar los privilegios elevados de la segunda cuenta.
Es importante destacar que ninguna de las dos cuentas tenía autenticación multifactor (MFA) habilitada. Se recomienda asegurar las cuentas privilegiadas que otorgan acceso a sistemas críticos, implementando el principio de privilegio mínimo y creando cuentas de administrador separadas para segmentar el acceso a los entornos. Las agencias advierten sobre las configuraciones predeterminadas en Azure AD que permiten a los usuarios crear y administrar todos los aspectos de las aplicaciones que crean, lo que posibilita el acceso de los actores de amenazas a información confidencial.
La optimización para SEO de esta noticia se puede mejorar eligiendo una palabra clave adecuada, por ejemplo, «ataque informático a organización estatal gubernamental«. Se puede utilizar esta palabra clave en el título y en la redacción del contenido para mejorar la relevancia y el ranking en los motores de búsqueda. Además, se podrían utilizar palabras de transición como «por lo tanto» y «además» para conectar las ideas con claridad y eficacia.
Vía The Hacker News
