Según el informe, los atacantes se apoyan principalmente en lenguajes de secuenciación, como Python y PowerShell, permitiéndoles operar en entornos restringidos y llevar a cabo sus actividades de comando y control (C2) a través de llamadas a API, utilizando servicios de comunicación como Telegram. Este enfoque les permite ejecutar acciones sin ser fácilmente detectados.
Los investigadores han observado que los ataques se están llevando a cabo mediante métodos de fuerza bruta, que explotan credenciales débiles. Se ha identificado que más de 4,000 direcciones IP de ISP han sido específicamente blanco de estas intrusiones, con el origen de los intentos de ataque rastreando hasta direcciones IP asociadas con Europa del Este. Una vez que los atacantes obtienen acceso inicial a un sistema, utilizan PowerShell para eliminar varios ejecutables, facilitando acciones como el escaneo de redes y el robo de información. Además, han implementado minería de criptomonedas, en particular, el uso de XMRIG, que permite agarrar poder computacional de las víctimas para generar criptomonedas de manera no autorizada.
El proceso de ejecución de la carga útil comienza con una fase de preparación, donde los atacantes deshabilitan características de productos de seguridad y finalizan servicios que podrían detectar actividades de minería de criptomonedas. Este proceso asegura que sus acciones sean menos visibles y más difíciles de contrarrestar por parte de los administradores de los sistemas afectados.
Los hallazgos de Splunk resaltan la importancia de contar con credenciales seguras y prácticas robustas de ciberseguridad para mitigar el riesgo de ser víctima de tales campañas. La segmentación de redes, la implementación de controles de acceso adecuados y las auditorías de seguridad regulares son algunas de las formas en que los ISP y otras organizaciones pueden defenderse contra estas sofisticadas amenazas.
Todavía no se ha podido identificar al grupo detrás de esta actividad, pero el nivel de organización y la técnica empleada sugieren que están bien financiados y tienen acceso a herramientas avanzadas. Esto plantea graves preocupaciones sobre la seguridad cibernética en el sector de telecomunicaciones, especialmente considerando la cantidad de datos personales y críticos que estos proveedores manejan.
En conclusión, la campaña de explotación observada por Splunk subraya la creciente amenaza que representan los atacantes cibernéticos a las infraestructuras críticas y aquellas que operan en entornos digitales menos seguros. La situación exige una respuesta proactiva de las empresas de telecomunicaciones para salvaguardar sus redes contra un panorama de amenazas cada vez más complejo y dinámico. La vigilancia constante, la actualización de protocolos de seguridad y la concienciación entre los empleados son elementos claves en la lucha contra el cibercrimen.
Enlace de la fuente, haz clic para tener más información