FireEye publica un informe y una herramienta para detectar incidentes de SolarWinds

FireEye publica información sobre ataque SolarWinds

Esta semana la firma de ciberseguridad FireEye ha lanzado un
informe detallando en profundidad las técnicas utilizadas por los delincuentes informáticos
que atacaron SolarWinds.

Además del informe, los investigadores de FireEye han
lanzado una herramienta gratuita en GitHub llamada Azure AD Investigator, esta
herramienta según indican los investigadores, podría llegar a detectar si los
delincuentes informáticos de SolarWinds llegaron a utilizar alguna de sus técnicas
dentro de sus redes.

Recordemos que el ataque recibido por parte de SolarWinds fue publicado
por primera vez el 13 de diciembre de 2020, donde un actor amenazante consiguió
acceso a la red del proveedor de software SolarWinds y corrompió la aplicación
Orion con malware.

El malware inyectado en Orion fue Sunburst, el cual recopilo
la información sobre las empresas infectadas. De los casi 18.000 clientes de
SolarWinds que instalaron la versión corrupta de Orion, un pequeño porcentaje
de ellos fue seleccionado por los delincuentes, a estos elegidos se le
implementó una segunda cepa de malware conocida como Teardrop. Una vez
infectados con esta segunda cepa los delincuentes utilizaron varias técnicas
para escalar el acceso dentro de la red local del objetivo y al recurso de la
nube, principalmente tenían el enfoque de violar la infraestructura de
Microsoft 365.

El informe publicado por parte de FireEye contiene 35
páginas e indica con gran detalle y profundidad como estos delincuentes informáticos
consiguieron violar las infraestructuras de sus víctimas sin ser detectados.
Además, FireEye ha indicado que aun con el nivel de sofisticación y evasión utilizadas
por los delincuentes informáticos, las técnicas utilizadas por estos son detectables
y defendibles. Indican que fue la capacidad de FireEye para detectar estas técnicas
en sus propias redes lo que llevaron a la empresa a investigar una brecha
interna para posteriormente descubrir el incidente de SolarWinds.

Además de la aplicación lanzada por parte de FireEye,
CrowdStrike ha publicado la CRT mientras que la Agencia de Seguridad de Infraestructura
y Ciberseguridad de EE.UU (CISA) ha publicado Sparrow, dos herramientas con objetivos
similares de detección de actividad ilegal en redes comprometidas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Intec Cybersecurity
Intec Cybersecurity
intec cybersecurity