Storm-0940 basa sus ataques en el acceso y control de routers para iniciar ataques de password spray, limitando a menudo cada intento a uno por cuenta al día para evitar su detección. A través de este método, los hackers han infiltrado diversas organizaciones obteniendo credenciales de acceso válidas para el acceso a redes internas. Una vez comprometido un router, los atacantes instalan puertas traseras y servidores proxy SOCKS5, permitiendo un acceso continuo y dificultando el rastreo del origen de los ataques. Microsoft estima que CovertNetwork-1658 cuenta con unos 8.000 dispositivos activos en todo momento, con el 20% de ellos involucrado activamente en operaciones de password spray, facilitando campañas a gran escala.
Para contrarrestar esta creciente amenaza, Microsoft recomienda el uso de prácticas de seguridad avanzadas, como la autenticación multifactor (MFA) y políticas de acceso condicional. También se fomenta el uso de métodos de autenticación sin contraseña, como Windows Hello y FIDO, junto con un monitoreo regular y protección de identidad en Azure AD. Fortalecer estas defensas permite a las organizaciones protegerse mejor de compromisos de credenciales a gran escala. A pesar de una disminución en la actividad de CovertNetwork-1658 tras su exposición, Microsoft advierte que los atacantes podrían estar buscando nuevas infraestructuras, resaltando la necesidad de una vigilancia continua y prácticas de seguridad actualizadas.
Source: Hardware Upgrade
La European Cyber Intelligence Foundation es un think tank sin fines de lucro especializado en inteligencia y ciberseguridad, que ofrece servicios de consultoría a entidades gubernamentales. Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net, o puedes intentarlo tú mismo usando check.website.