Skip to main content

Actor de amenazas extranjero lleva a cabo una campaña de phishing a gran escala con archivos adjuntos de RDP

noviembre 2, 2024


CISA ha recibido múltiples informes sobre una campaña de phishing a gran escala dirigida a organizaciones de varios sectores, incluidos el gobierno y la tecnología de la información (TI). El actor de amenazas extranjero, que a menudo se hace pasar por una entidad confiable, envía correos electrónicos de phishing que contienen archivos maliciosos de protocolo de escritorio remoto (RDP) a organizaciones específicas para conectarse y acceder a archivos almacenados en la red del objetivo. Una vez que se ha obtenido el acceso, el actor de la amenaza puede realizar actividades adicionales, como implementar código malicioso para lograr un acceso persistente a la red del objetivo.

CISA, el gobierno y los socios de la industria están coordinando, respondiendo y evaluando el impacto de esta campaña. CISA insta a las organizaciones a tomar medidas proactivas:

  • Restringir las conexiones RDP salientes:
    • Prohibir o restringir significativamente las conexiones RDP salientes a redes públicas o externas. Esta medida es crucial para minimizar la exposición a posibles amenazas cibernéticas.
    • Implemente un Firewall junto con políticas seguras y listas de control de acceso.
  • Bloquear archivos RDP en plataformas de comunicación:
    • Prohibir la transmisión de archivos RDP a través de clientes de correo electrónico y servicios de correo web. Este paso ayuda a prevenir la ejecución accidental de configuraciones RDP maliciosas.
  • Evitar la ejecución de archivos RDP:
    • Implementar controles para bloquear la ejecución de archivos RDP por parte de los usuarios. Esta precaución es vital para reducir el riesgo de explotación.
  • Habilite la autenticación multifactor (MFA):
    • Habilite MFA siempre que sea posible para proporcionar una capa esencial de seguridad para el acceso remoto.
    • Evite SMS MFA siempre que sea posible.
  • Adopte métodos de autenticación resistentes al phishing:
    • Implemente soluciones de autenticación resistentes al phishing, como tokens FIDO. Es importante evitar la MFA basada en SMS, ya que puede ser vulnerable a ataques de secuestro de SIM.
  • Implementar políticas de acceso condicional:
    • Establezca la solidez de la autenticación de acceso condicional para exigir el uso de métodos de autenticación resistentes al phishing. Esto garantiza que solo los usuarios autorizados puedan acceder a sistemas confidenciales.
  • Implementar detección y respuesta de endpoints (EDR):
    • Implemente soluciones de detección y respuesta de endpoints (EDR) para monitorear y responder continuamente a actividades sospechosas dentro de la red.
  • Considere soluciones de seguridad adicionales:
    • Evaluar, en conjunto con EDR, el despliegue de soluciones anti-phishing y antivirus para reforzar sus defensas contra amenazas emergentes.
  • Realizar educación del usuario:
    • Tenga un programa de educación para usuarios que destaque cómo identificar y reportar correos electrónicos sospechosos. Una sólida educación de los usuarios puede ayudar a mitigar la amenaza de la ingeniería social y los correos electrónicos de phishing.
    • Reconocer y denunciar el phishing: Evite el phishing con estos sencillos consejos.
  • Búsqueda de actividad utilizando indicadores de referencia y TTP:
    • Utilizar todos los indicadores que se publican en artículos relevantes e informar a busque posible actividad maliciosa dentro de la red de su organización.
    • Busque conexiones RDP salientes inesperadas y/o no autorizadas durante el último año.

CISA insta a los usuarios y administradores a permanecer atentos a los intentos de phishing, buscar cualquier actividad maliciosa, informar los hallazgos positivos a CISA y revisar los siguientes artículos para obtener más información:



Source link

Translate »