Un nuevo grupo de actores de amenaza, inusualmente tenaz llamado Muddled Libra ha destacado por su eficiente uso de herramientas de phishing y smishing para lograr ingresar a ambientes seguros y finalmente lograr el robo de información. Una de sus principales características ha sido el ataque persistente contra industrias de automatización de software, BPO, telecomunicaciones y tecnología.
Características de Muddled Libra
Muddled Libra se distingue por utilizar el kit de phishing 0ktapus, mantener una persistencia a largo plazo, operar de manera no destructiva en la infraestructura de la víctima y dirigirse a la industria de externalización de procesos empresariales (BPO), además de telecomunicaciones, automatización de software y tecnología.
Este grupo de amenazas ha demostrado ser muy versátil y adaptarse rápidamente cuando se bloquea una ruta de ataque. También tienen un conocimiento sólido de los marcos de respuesta a incidentes, lo que les permite persistir incluso cuando se intenta eliminarlos de un entorno.
El enfoque para escoger víctimas
Muddled Libra muestra un interés en dirigirse a los clientes posteriores de una víctima utilizando datos robados, y tienen la capacidad de regresar incluso después de una respuesta inicial al incidente. Además, tienen claros objetivos para sus violaciones de seguridad y aprovechan la información obtenida para llevar a cabo ataques más dirigidos. Esta es una de sus características distintivas.
Este actor de amenaza ha demostrado un conocimiento detallado de las organizaciones objetivo, obteniendo datos como listas de empleados y números de teléfono móvil. Adquieren paquetes de información de mercados ilegales y aprovechan la descentralización en la gestión de activos de TI para robar información mediante malware.
Estrategias de evasión y protección utilizadas
Ha demostrado habilidad al eludir diversas medidas de seguridad comunes. Desactivando antivirus y cortafuegos, intentando eliminar perfiles de firewall, creando exclusiones en los sistemas de defensa y desactivando o desinstalando productos de monitoreo y EDR. Adicionalmente, utilizaron cuentas existentes de Active Directory para evitar la detección y operaron dentro de consolas administrativas de EDR para eliminar alertas.
Prevención y mitigación
Es fundamental encontrar un equilibrio adecuado para prever ataques cibernéticos. Una estrategia de ciberdefensa integral nos puede ayudar a entender cuál es el ajuste que cada organización debe adoptar para prevenir y mitigar este y otros tipos de ataque. Estrategias como ZeroTrust deben ser abordadas desde este enfoque para permitir que la continuidad operacional de la empresa no se vea deteriorada por una gestión de ciberseguridad altamente restrictiva.
Considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos y posean conciencia de su rol en la seguridad a través de programas online de concientización y capacitación que los lleve a operar bajo una conducta que aporte a la ciberdefensa.
¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
- Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
- Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
Fuentes
https://thehackernews.com/2023/06/cybercrime-group-muddled-libra-targets.html
https://unit42.paloaltonetworks.com/muddled-libra/
https://www.scmagazine.com/brief/threat-intelligence/muddled-libra-attacks-target-bpo-sector
https://www.darkreading.com/attacks-breaches/-muddled-libra-oktapus-smishing-outsourcing-firms