Un análisis del hackeo de Cisco 2022

hackeo Cisco

El 24 de mayo de 2022, sucedió el hackeo de Cisco. La compañía fue víctima de un ataque cibernético.

Hackeo de Cisco

Según el post de Cisco Cisco Event Response: Corporate Network Security Incident, con fecha del 10 de agosto de 2022, sucedió el hackeo de Cisco un ataque dirigido a la infraestructura de TI de la compañía.

En respuesta, se tomaron medidas inmediatas para contener y eliminar a los atacantes, sin duda. Pero los atacantes ya estaban en la red de TI de la compañía y tenían acceso a los datos allí.

Hackeo de Cisco por ransomware Yanluowang

El hackeo de Cisco se debió al ataque de ransomware. Este ataque fue ejecutado por el grupo de ransomware conocido como Yanluowang, dicho grupo amenazó a Cisco con exponer los archivos robados si no pagaban un rescate por ellos.

Respecto al hackeo de Cisco, uno de los portavoces de la compañía declaró que «Cisco experimentó un incidente de seguridad en nuestra red corporativa a finales de mayo de 2022 e inmediatamente tomamos medidas para contener y erradicar a los actores implicados», además también resaltó que «No se identificó ningún impacto en nuestro negocio como resultado de este incidente, incluyéndose los productos o servicios de Cisco, los datos sensibles de los clientes o la información sensible de los empleados, la propiedad intelectual, etc.»

Adicionalmente el portavoz también declaró que la banda Yanluowang publicó una lista de archivos extraídos de dicho ataque en la dark web el 10 de agosto. La banda afirma haber robado 2,8 gigabytes de datos.

Cómo se realizó el hackeo de Cisco

Paso 1: Contraseñas del navegador

Como primer paso del hackeo de Cisco, el atacante primero accedió a la cuenta personal de Google de un empleado. Al iniciar sesión en un navegador Chrome con las credenciales de acceso robadas, el atacante podría obtener acceso a las contraseñas del empleado, ya que se habían guardado en el navegador y configurado para sincronizarse.

Análisis

Actualmente los navegadores tienen muchas mejoras, una de estas son las contraseñas del navegador. Sin duda alguna, para muchos guardar las contraseñas en el navegador es conveniente, pero los navegadores no aplican el tipo de mejores prácticas de seguridad que hacen los administradores de contraseñas, lo que los hace vulnerables antes ataques cibernéticos.

Los administradores de contraseñas requieren que los usuarios usen una contraseña maestra que debe ser adecuadamente compleja y cifrar cualquier contraseña guardada, lo que dificulta su robo. Algunos administradores de contraseñas incluso le permitirán usar datos biométricos como sus huellas dactilares o su rostro, lo que aumenta la seguridad y la comodidad.

Otro riesgo potencial de seguridad aquí es el uso de contraseñas simples. Por ejemplo, ‘123456’, ‘123456789’, o usar su mismo nombre como contraseña.

Prevención

Muy pocas personas disfrutan escribiendo contraseñas largas y complejas, lo que lleva a las personas a tomar atajos. La investigación respalda esta afirmación, por lo que es tan importante ayudar a los usuarios a usar mejores contraseñas.

Desmotivar a los usuarios de guardar contraseñas en sus navegadores es otro paso importante que puede ayudarle a usted y a todos los usuarios a mitigar riesgos. Después de todo, no es solo su contraseña de WordPress la que corre el riesgo de ser robada: las redes sociales, la banca y todas las demás contraseñas están igualmente en riesgo.

Utilice contraseñas seguras

Aplicar las mejores prácticas para crear contraseñas seguras es uno de los pasos más importantes que puede tomar para mitigar los riesgos. Una política de contraseñas de WordPress sólida puede ayudarlo a asegurarse de que los usuarios no usen contraseñas como ‘123456’.

Usando WPassword, un complemento de seguridad de contraseñas de WordPress, puede asegurarse de que se sigan las buenas prácticas de contraseña segura. Puede establecer su propia política, lo que le ayudará a lograr un perfil de política con el que se sienta cómodo y satisfecho.

Paso 2: Ingeniería social

En el proceso de hackeo de Cisco, el atacante logró acceder a la cuenta del empleado, procedió a registrar dispositivos 2FA para evadir los mecanismos de seguridad ofrecidos por 2FA. Con 2FA siendo bastante robusto, el atacante lanzó un ataque doble que hizo uso de tácticas de ingeniería social para eludir 2FA.

Primer ataque: Fatiga 2FA.

El atacante intenta registrar múltiples dispositivos 2FA, obligando efectivamente a la víctima a lidiar con múltiples solicitudes de 2FA. Este tipo de ataque es más frecuente en las notificaciones push, ya que todo lo que la víctima tiene que hacer es aceptar, ya sea por ignorancia, fatiga o de otra manera.

Segundo ataque: Vishing.

Es un tipo de ataque de ingeniería social en el que el atacante llama a la víctima (phishing de voz), afirmando ser alguien en una posición de autoridad. Se abusa de esta autoridad fingida al poner a la víctima en una posición en la que siente que no tiene más remedio que cumplir con las demandas de la persona que llama. Estas demandas pueden incluir divulgar información o tomar ciertas acciones, como hacer clic en enlaces específicos.

Análisis

La ingeniería social sigue siendo una de las herramientas más utilizadas por los atacantes para evadir las medidas de seguridad. En algunos casos, a los atacantes les puede resultar más fácil estafar a las personas que lidiar con el sistema de seguridad. En este caso, el atacante tuvo que recurrir a la ingeniería social para evadir la 2FA (Autentificación de Dos Factores).

La ingeniería social viene en muchas formas, lo que requiere una política de seguridad integral para garantizar que los ataques no tengan éxito. A medida que la ingeniería social se dirige a las personas, las campañas continuas de concientización pueden contribuir en gran medida a minimizar y mitigar los riesgos.

La ingeniería social se basa en una serie de principios, que incluyen la intimidación, la urgencia, la familiaridad, la prueba social, la autoridad y la escasez. Estos principios se utilizan maliciosamente para que las personas cumplan con las solicitudes a las que de otro modo no habrían accedido.

Prevención

Agregar autenticación de dos factores

Las contraseñas seguras son solo una primera línea de defensa.

Hacer uso de 2FA es otra medida de seguridad muy importante, ya que es capaz de detener la gran mayoría de los ataques en línea, también el ataque debe ser bastante potencial para obtener acceso al teléfono de un usuario registrado, algo que es bastante difícil.

Los atacantes de Cisco nunca lograron eludir las defensas de 2FA, sino que confiaron en tácticas de engaño para engañarlo. La víctima accedió a sus solicitudes, lo que finalmente les permitió evadir la 2FA.

Invierte en tus usuarios

La educación del usuario es una herramienta poderosa que con demasiada frecuencia se ignora, hasta que hay un incidente.

Tenga una política que, entre otras cosas, pida a los usuarios que informen sobre las solicitudes de 2FA que no esperaban y dejar en claro que incluso si aceptan cualquier solicitud de este tipo por error, debe informarse. Los usuarios a menudo temen las repercusiones derivadas de tales errores, lo que lleva a que tales incidentes no se denuncien. Comprenda que esto le puede pasar a cualquiera: la indulgencia y la comprensión lo ayudan tanto a usted como a sus usuarios.

Tómese el tiempo para revisar la política de vez en cuando y, si es posible, inscriba a los usuarios en cursos cortos de ciberseguridad diseñados para el personal.

Paso 3: Escalada de privilegios

Durante el hackeo de Cisco el atacante obtuvo acceso inicial, escaló a privilegios de nivel de administrador, lo que les permitió acceder a múltiples sistemas. Esto es lo que finalmente los delató, ya que alertó al equipo de respuesta de seguridad, que pudo investigarlos y eliminarlos del entorno.

Análisis

En la escalada de privilegios, el atacante intenta obtener acceso a cuentas con un conjunto de privilegios más alto que el inicialmente comprometido. Dado que las cuentas de autoridad inferior generalmente no están tan protegidas como las cuentas de autoridad superior, son más fáciles de ingresar. Una vez que se obtiene el acceso inicial, es posible que el atacante desee escalar privilegios para acceder a datos más confidenciales o hacer más daño.

Prevención

Si bien WordPress es, en general, una aplicación segura, no es inmune a los ataques cibernéticos. Reducir el área de superficie de ataque es imprescindible para minimizar el riesgo. Este proceso de reducción del área de superficie de ataque se llama endurecimiento y se puede hacer en varios niveles, incluyendo:

  • Endurecimiento de WordPress.
  • Endurecimiento de PHP.
  • Endurecimiento del servidor web.
  • Endurecimiento del sistema operativo.
  • Endurecimiento de MySQL.

Los subsistemas que puede endurecer dependerán de cómo esté alojado su WordPress. Si tiene un plan de alojamiento de WordPress, su proveedor de alojamiento lleva a cabo la mayoría de las tareas. Por otro lado, si administra su propio servidor, deberá endurecer cada subsistema usted mismo.

Paso 4: Instalación de la herramienta

Antes que el equipo de respuesta de incidencias de Cisco, pudiera bloquear el hackeo de Cisco, ellos ya obtuvieron suficientes privilegios, instalaron varias herramientas de persistencia para garantizar que pudieran mantener el acceso. Estas herramientas habrían proporcionado acceso futuro, ya sea que los atacantes planearan volver a visitar o vender el acceso a un tercero.

Análisis

Las herramientas y métodos de persistencia, también conocidos como puertas traseras, son doblemente peligrosas, ya que permiten el acceso para futuros ataques. Si no se detectan, continuarán proporcionando al atacante acceso continuo al entorno. Como la mayoría de estas herramientas están diseñadas para evitar la detección, encontrarlas puede requerir un poco de trabajo adicional.

Los proveedores como Google también pueden bloquear su dominio o IP, lo que afecta negativamente su clasificación en los motores de búsqueda. Esto puede ser aún más difícil de recuperar, especialmente si se hizo un daño considerable antes de notar el ataque realizado.

Prevención

Encontrar todo el malware y el software que un atacante deja atrás puede ser muy difícil. La mayoría de los administradores de WordPress tienden a recurrir a una copia de seguridad anterior desde antes del ataque inicial. Varias compañías también ofrecen servicios profesionales de limpieza de WordPress. Ciertos plugin también pueden ayudarlo a encontrar malware de WordPress.

En WordPress podemos usar dos herramientas: Website File Changes Monitor y WP Activity Log

  • Website File Changes Monitor

Este plugin gratuito esencialmente toma un hash de su sistema de archivos cada vez que se ejecuta y luego lo compara con el hash anterior. El hash cambiará completamente si hay el más mínimo cambio en cualquiera de los archivos. Esto le permitirá comenzar sus investigaciones para determinar si se ha producido un ataque.

  • WP Activity Log

Este plugin mantendrá un registro de actividad de WordPress que le brinda información profunda sobre las actividades de usuario y sistema de su sitio web de WordPress, lo que le permite detectar comportamientos sospechosos desde el principio.

Un plan de seguridad integral es el único plan de seguridad

El hackeo de Cisco demuestra una vez más que los hackers se están volviendo más innovadores y sofisticados en ataques cibernéticos, utilizando múltiples vectores para aumentar sus posibilidades de un ataque exitosa.

Como nos muestra el hackeo de Cisco, múltiples capas son críticas para garantizar el endurecimiento de la seguridad de WordPress; Sin embargo, el elemento humano sigue siendo esencial. En muchos sentidos, los usuarios son partes interesadas en el éxito de cualquier sitio web de WordPress, y si bien la implementación de políticas como el privilegio mínimo es imperativa, también lo es la educación del usuario.

Por último, como acabamos de leer el artículo un análisis del hackeo de Cisco 2022 nos recalca que la seguridad de su sitio web es sumamente importante que no se debe ignorar, por lo tanto tomas las medidas de seguridad recomendadas para prevenir un hackeo de Cisco.

Nosotros como SISBOLIVIA ofrecemos servicios de seguridad web: métricas de bloqueo, CDN, WAF, escaneo de malware diario, y sobre todo servidores seguros y alto rendimiento.

Si crees que la seguridad de tu sitio web ha sido vulnerada o deseas protegerla ya mismo, comunícate con nosotros. ¡Contáctanos!

Servicios de seguridad de la información, Contamos con varios

Información de Contacto