¿Alguna vez te has preguntado cómo operan los hackers para apuntar a organizaciones de gran envergadura? El mes de marzo fue escenario de una serie de ataques sofisticados dirigidos a cuentas de Microsoft 365 en Oriente Medio. Descubre los entresijos de esta operación cibernética que sacudió a Israel y los Emiratos Árabes Unidos.
Las 3 informaciones que no debes perderte
- Más de 300 organizaciones israelíes y una veintena en los Emiratos Árabes Unidos fueron atacadas por hackers en marzo.
- Los ataques coincidieron con ataques de misiles iraníes, apuntando principalmente a las municipalidades.
- Los hackers utilizaron una técnica de «password spraying» para acceder a las cuentas de Microsoft 365.
Los ataques en Oriente Medio: una estrategia bien elaborada
En marzo, más de 300 organizaciones en Israel y una veintena en los Emiratos Árabes Unidos fueron atacadas por una campaña de hacking. Los ataques se dirigieron principalmente a las municipalidades, sugiriendo un vínculo con los ataques de misiles iraníes del mismo período. Los hackers utilizaron un método de «password spraying», una técnica que consiste en probar simultáneamente cientos de cuentas con contraseñas comunes para evitar el bloqueo automático.
Las etapas del ataque a las cuentas de Microsoft 365
El plan de los hackers se desarrollaba en tres fases distintas. Primero, se realizaba un escaneo masivo desde nodos de salida Tor, utilizando un agente de usuario que se hacía pasar por Internet Explorer 10. Una vez encontrados identificadores válidos, las conexiones se realizaban a través de direcciones IP VPN geolocalizadas en Israel, con servicios como Windscribe o NordVPN, permitiendo eludir las restricciones geográficas de Microsoft 365. Finalmente, los hackers accedían a los buzones de correo y a los datos que contenían.
Los objetivos y las motivaciones detrás de los ataques
Check Point Research notó una correlación entre las ciudades atacadas y aquellas afectadas por ataques de misiles iraníes en marzo. Las municipalidades, a menudo en primera línea para coordinar los rescates y evaluar los daños después de un bombardeo, representaban objetivos de elección. El acceso a sus sistemas de mensajería permitiría a los hackers evaluar la eficacia de los ataques, una técnica llamada «Bombing Damage Assessment». Otros sectores, como las empresas tecnológicas, los transportes y la logística, así como la salud y la industria, también fueron afectados, aunque en menor medida.
Gray Sandstorm y las sospechas sobre los autores de los ataques
Una pista lleva a Gray Sandstorm, un grupo vinculado a los Guardianes de la Revolución Islámica. Sin embargo, Check Point califica esta atribución de «confianza moderada», dejando la puerta abierta a la implicación de otros actores. Las herramientas e infraestructuras utilizadas en el ataque, como Tor y los VPN, son accesibles a diversos grupos, lo que dificulta una atribución definitiva.
Protección de las empresas tecnológicas contra el «password spraying»
Mientras que los ataques de «password spraying» continúan planteando desafíos a las empresas, se vuelve esencial reforzar las medidas de seguridad. La adopción de la autenticación multifactorial y la implementación de políticas de contraseñas sólidas son tendencias a seguir para contrarrestar estas amenazas persistentes. La concienciación de los empleados sobre la importancia de la seguridad digital también puede desempeñar un papel crucial en la protección de los datos sensibles.