Ataques

ZeroLogon: La vulnerabilidad que inquieta a Honda y Toyota

Las principales empresas de Japón han sido ciberatacadas por un grupo de crackers conocido como “Cicada”. Entre las víctimas están Honda y Toyota. ¿Cómo las afecta este ataque?

Hacker malicioso ciberdelincuente cibercriminal

La industria de la automoción está entre los principales objetivos de una enorme y reciente campaña de ciberataques. Con ellos, los ciberdelincuentes también han apuntado a la industria farmacéutica y otros sectores relacionados con la ingeniería. Todos estos objetivos tienen en común una característica: son empresas japonesas.

Los ataques se basan en la vulnerabilidad ZeroLogon, ubicada en la criptografía del protocolo Netlogon de Windows. Netlogon es un componente de autenticación de Microsoft Active Directory; con él se verifican, registran y autentican los inicios de sesión.

Cómo se aprovechan del “agujero”

Así, la vulnerabilidad eleva los privilegios que Netlogon le reconoce al intruso. De esta manera, el atacante puede crear una nueva contraseña, haciéndose con las credenciales para gestionar el controlador de dominio. Esto implica que cualquiera puede usar privilegios para conectarse a un controlador y… lograr acceso total como administrador. En otras palabras, cualquiera puede utilizar Microsoft Netlogon como canal de conexión, incluso desde un ordenador externo al dominio.

Este riesgo tiene la máxima clasificación de 10 en la escala de gravedad CVSSv3. CVSS es el sistema de puntuación de vulnerabilidades que utilizan los profesionales y agencias de ciberseguridad. La puntuación indica el peligro de cada una de ellas. Microsoft reconoció por primera vez el riesgo de ZeroLogon en agosto. Ante este problema, la agencia de ciberseguridad estadounidense -la CISA– recomendó a todos los usuarios que parchearan cuanto antes sus controladores de dominio. Los primeros ataques llegaron a finales de septiembre, por lo que es importante tener las últimas actualizaciones del sistema operativo para acabar con el agujero. Por esas mismas fechas, Microsoft detectó que se estaban usando exploits públicos para atacar servidores de Windows.

Cicada: el grupo detrás de ZeroLogon

En realidad, los crackers de Cicada llevan aprovechando ZeroLogon desde mediados de 2019. Según la empresa de ciberseguridad Symantec, se han detectado incidentes en 17 regiones distintas. Muchas de ellas pertenecen a Estados Unidos, donde los cibercriminales han atacado las sedes de varias empresas japonesas. Los atacantes aprovecharon la vulnerabilidad ZeroLogon para instalar software de vigilancia, como QuasarRAT y Backdoor.Hartip.

Las primeras pesquisas apuntan a un grupo de Amenazas Persistentes AvanzadasAPTs, por sus siglas en inglés- que se hace llamar “Cicada”. No obstante, en ocasiones las autoridades les han identificado con las denominaciones de “APT10”, “Stone Panda” y “Cloud Hopper”. Les descubrieron en el 2009, y EE.UU. sospecha que el Gobierno chino podría estar detrás de él. En sus anteriores ataques, de nuevo las empresas japonesas fueron las principales víctimas.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.