En diciembre de 2022, parecía que la Navidad llegó temprano para el ahora incautado foro sobre ciberdelincuencia “Breached”.
Un actor de amenazas relativamente desconocido que se conoce con el alias “USDoD” publicó un hilo en el que ofrecía a la venta la base de datos del sistema de intercambio del FBI, “InfraGard”.
Debido a la naturaleza sensible de “InfraGard”, la filtración despertó la curiosidad de numerosos investigadores y atrajo la atención en varios blogs y artículos de ciberseguridad”.
Blog de KrebsOnSecurity sobre el hack de InfraGard.
Después del cierre policial del foro “Breached”, los ciberdelincuentes, incluido “USDoD”, se apresuraron a encontrar plataformas alternativas para vender datos robados. Esta lucha llevó al surgimiento de un nuevo foro sobre delitos cibernéticos llamado “BreachForums”.
Un avance rápido hasta septiembre de 2023, “USDoD” publicó dos hilos en este nuevo foro, con solo unos minutos entre ellos.
En el primer hilo, el actor de amenazas anunció su membresía oficial en el notorio grupo de ransomware conocido como “Ransomed”.
“USDoD” anuncia que se une al grupo de ransomware “Ransomed”.
“Ransomed” es un grupo de ransomware relativamente nuevo que está ganando protagonismo rápidamente y afirma con orgullo en Twitter haber atacado a la mayoría de empresas con ataques de ransomware durante septiembre de 2023.
En el segundo hilo, mucho más alarmante, “USDoD” expuso la información personal de 3.200 proveedores confidenciales de Airbus, con detalles de contacto como nombres, direcciones, números de teléfono y direcciones de correo electrónico, todo mientras afirmaba que Lockheed Martin y Raytheon podrían ser los próximos objetivos. .
Esta filtración es muy sensible dado el tipo de empresas implicadas.
Muestra de la filtración que muestra proveedores de Airbus como Rockwell Collins, Thales Group y otros.
Una infracción evitable
Los actores de amenazas normalmente se abstienen de revelar sus técnicas de intrusión; sin embargo, en esta filtración excepcionalmente rara, “USDoD” reveló que obtuvieron acceso a los datos de Airbus explotando el “acceso de los empleados de una aerolínea turca”.
Utilizando esta información, los investigadores de Hudson Rock lograron rastrear el acceso del empleado mencionado: una computadora turca infectada con un malware de robo de información en agosto de 2023.
Información técnica del ordenador infectado.
Como se muestra en las imágenes, la computadora pertenece a un empleado de Turkish Airlines y contiene detalles de credenciales de inicio de sesión de terceros para Airbus.
La víctima probablemente intentó descargar una versión pirateada del marco Microsoft .NET, como se indica en la ruta del malware.
En consecuencia, fueron víctimas de un actor de amenazas que utilizaba la familia de robo de información RedLine, comúnmente empleada.
Las credenciales obtenidas de infecciones de robo de información, que se han convertido en el principal vector de ataque inicial en los últimos años, brindan a los actores de amenazas puntos de entrada fáciles a las empresas, lo que facilita las filtraciones de datos y los ataques de ransomware.
Es crucial subrayar que Hudson Rock tenía los datos comprometidos de este empleado el mismo día de la infección, lo que destaca una oportunidad perdida para que Turkish Airlines y Airbus se protegieran preventivamente contra este incidente utilizando los servicios de Hudson Rock.
ACTUALIZACIÓN: El equipo CERT de Airbus pudo determinar que el hack se originó en la computadora infectada que Hudson Rock identificó
Las infecciones por robo de información como tendencia de delitos cibernéticos aumentaron en un increíble 6000 % desde 2018, posicionándolas como el principal vector de ataque inicial utilizado por los actores de amenazas para infiltrarse en las organizaciones y ejecutar ciberataques, incluidos ransomware, filtraciones de datos, apropiaciones de cuentas y espionaje corporativo.
Para obtener más información sobre cómo Hudson Rock protege a las empresas de intrusiones inminentes causadas por infecciones de robo de información de empleados, socios y usuarios, así como también cómo enriquecemos las soluciones de ciberseguridad existentes con nuestra API de inteligencia contra delitos cibernéticos , programe una llamada con nosotros aquí: https://www.hudsonrock.com/schedule-demo
Hudson Rock brinda acceso a varias herramientas gratuitas de inteligencia contra delitos cibernéticos que puede encontrar aquí: www.hudsonrock.com/free-tools
Fuente: infostealers.com