En las últimas semanas, se ha detectado una serie de ataques informáticos dirigidos a los VPN de empresas, destacando una estrategia de reconocimiento orquestada por ciberdelincuentes. Estos ataques explotan infraestructuras legítimas para mapear los accesos VPN expuestos, subrayando una vez más la necesidad de una mayor vigilancia en la protección de las redes empresariales.
Las 3 noticias que no te puedes perder
- Desde principios de diciembre, se ha observado un aumento en los intentos de conexión en los portales GlobalProtect de Palo Alto y las API de SonicWall.
- Más de siete mil direcciones IP, provenientes de la infraestructura de 3xK GmbH, han estado involucradas en estos ataques.
- GreyNoise ha identificado firmas técnicas recurrentes, sugiriendo una operación continua de mapeo de accesos VPN y cortafuegos.
Los ataques en los portales VPN
A principios de diciembre, se observó un aumento notable en los intentos de conexión en los portales GlobalProtect, un servicio VPN ampliamente utilizado en las empresas. Estos ataques provenían principalmente de la infraestructura de 3xK GmbH, un proveedor legítimo cuyos servidores fueron desviados para llevar a cabo esta operación coordinada.
Aunque esto pueda parecer un incidente aislado, los analistas identificaron rápidamente un patrón recurrente, ya observado entre septiembre y octubre. Se notaron las mismas firmas técnicas, a pesar de un cambio completo de infraestructura, indicando un esfuerzo continuo de reconocimiento por parte de los ciberdelincuentes.
Un objetivo ampliado a los cortafuegos SonicWall
El 3 de diciembre, los ataques evolucionaron para también dirigirse a las interfaces de gestión de los cortafuegos SonicWall. Se utilizaron las mismas huellas técnicas, reforzando la hipótesis de un solo actor ampliando su campo de acción. Esta evolución subraya el creciente interés de los ciberdelincuentes por los dispositivos de seguridad en línea.
Los ataques no revelan vulnerabilidades inmediatas, pero destacan el papel esencial de los VPN y los cortafuegos en la protección de las redes. Esto requiere una vigilancia continua para detectar comportamientos anormales y ajustar las políticas de seguridad en consecuencia.
Recomendaciones para reforzar la seguridad
Ante esta amenaza persistente, se anima a los administradores de redes a reforzar el control de las superficies de autenticación de sus VPN y cortafuegos. Se recomienda encarecidamente la implementación de la autenticación multifactor para reducir la eficacia de los ataques basados en credenciales comprometidas.
Además, el uso de contraseñas únicas y sólidas puede prevenir la explotación de filtraciones de credenciales. Un seguimiento atento de los intentos repetidos de conexión es crucial para detectar tempranamente este tipo de campaña y minimizar su impacto potencial.
Contexto e historia de Palo Alto y SonicWall
Palo Alto Networks es una empresa estadounidense fundada en 2005, especializada en ciberseguridad. Es conocida por sus soluciones innovadoras de protección de redes, especialmente sus cortafuegos y servicios VPN, que son ampliamente adoptados en todo el mundo.
SonicWall, por su parte, es una empresa que nació en 1991 y se ha consolidado como un actor importante en el ámbito de las soluciones de seguridad informática. Sus cortafuegos y sistemas de prevención de intrusiones son utilizados por muchas empresas para proteger sus infraestructuras digitales contra amenazas externas.