Fighting Ursa, un grupo de piratas informáticos asociado a la inteligencia militar rusa, está explotando una vulnerabilidad de día cero en Microsoft Outlook para atacar a organizaciones en 14 países, incluidos miembros de la OTAN.
Descripción del ataque
Los investigadores de la Unidad 42 han descubierto que Fighting Ursa, también conocido como APT28, Fancy Bear, Strontium/Forest Blizzard, Pawn Storm, Sofacy o Sednit, está explotando una vulnerabilidad de día cero en Microsoft Outlook (rastreado como CVE-2023-23397) para atacar a organizaciones en 14 países, incluidos miembros de la OTAN.
Las organizaciones objetivo incluyen infraestructura vital y fuentes de información ventajosas en los ámbitos de la diplomacia, el comercio y los asuntos militares. Entre ellos se encuentran:
- Producción y distribución de energía
- Operaciones de tuberías
- Material, personal y transporte aéreo
- Ministerios de Defensa
- Ministerios de Asuntos Exteriores
- Ministerios del Interior
- Ministerios de Economía
Método de ataque
Fighting Ursa envía correos electrónicos especialmente diseñados a las víctimas. Cuando los destinatarios abren estos correos electrónicos, se produce una explotación de día cero que permite a los atacantes tomar el control de los sistemas de las víctimas.
Recomendaciones:
Para protegerse de estos ataques debe mantener al día su conocimiento sobre las estrategias de ataque, implementar las últimas actualizaciones de seguridad de Microsoft y configurar la seguridad de los puntos finales para evitar este tipo de campañas maliciosas.
Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa.
Además, considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos como lo es la ingeniería social y/o el phishing, a través de la implementación de programas online de concientización y capacitación. Con el fin que tener colaboradores conscientes de su rol en la seguridad que operen bajo una conducta que aporte a la ciberdefensa.
Adicionalmente, las empresas pueden frenar los ataques de fraude a su marca a través de la protección de la huella digital de todo lo que podría afectarles más allá del perímetro interno a través de la visibilidad, protección y prevención de ataques dirigidos, suplantación de identidad, marca o colaboradores, así como brindar información en tiempo real de filtración de datos.
Medidas de mitigación:
Para mitigar el riesgo de esta vulnerabilidad, las organizaciones pueden tomar las siguientes medidas:
- Implementar las últimas actualizaciones de seguridad de Microsoft. Microsoft lanzó una actualización de seguridad para abordar esta vulnerabilidad el 12 de julio de 2023. Las organizaciones deben instalar esta actualización lo antes posible para protegerse.
- Utilizar un software de seguridad que pueda detectar y bloquear el exploit. Hay varios productos de seguridad que pueden detectar y bloquear el exploit CVE-2023-23397. Las organizaciones deben implementar uno de estos productos para proteger sus sistemas.
- Educar a los empleados sobre las amenazas de correo electrónico malicioso y cómo identificarlo. Los empleados deben estar capacitados para identificar y evitar correos electrónicos maliciosos. Las organizaciones deben proporcionar capacitación sobre seguridad a sus empleados para ayudar a proteger sus sistemas.
¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
- Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
- Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
- Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.
Asegura tu negocio de las amenazas cibernéticas
CONOCE NUESTROS SERVICIOS ADMINISTRADOS AQUÍ
Fuentes
https://cybersecuritynews.com/russian-hackers-exploiting-outlook/amp/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397