Home Blogs Hacktivismo en foco: ¿Su sitio está en riesgo? – Edgio
Applications

Hacktivismo en foco: ¿Su sitio está en riesgo? – Edgio

About The Author

Outline

Por: Tom Gorup y Andrew Johnson

Probablemente hayas notado que la frecuencia de los ciberataques en los titulares ha crecido drásticamente desde que comenzó la guerra entre Israel y Hamás. Hemos visto un aumento en todo, desde la defacción del sitio hasta los ataques DDoS hasta la exfiltración de datos de hacktivistas de todo el mundo. No ha habido fronteras ni fronteras que no estén dispuestas a cruzar.

Si bien los ataques más notables contra sitios altamente públicos como el Jerusalem Post son titulares de noticias, una tendencia interesante que hemos notado son las desfiguraciones de uno a muchos sitios en objetivos menos visibles. Lo que queremos decir con “uno a muchos” son ataques dirigidos a un solo recurso para comprometer muchos sitios web. Muchos de los ataques que hemos visto, que afirman estar vinculados a intereses de conflicto de Oriente Medio, se encuentran detrás de IP individuales, lo que nos llevó a la hipótesis de que muchos de estos actores de amenazas (TA) están obteniendo acceso a un único recurso o aplicación vulnerable que les permite manipular cualquier sitio que se encuentre detrás de ese proxy o en ese servidor. La mayoría de los ataques que hemos visto que siguen este patrón se han aprovechado de los proveedores de hosting. Consideramos estos ataques oportunistas y, en consecuencia, no sacamos a nadie de la lista de objetivos potenciales, Internet es su objetivo.

EL SISTEMA DE ERROR CIBERNÉTICO se flexiona después de varias defacciones del sitio, todo en una sola IP

Durante las últimas dos semanas, hemos estado analizando las defacciones de sitios anunciadas públicamente en los foros de hackers, y lo que encontramos fue un poco inesperado y ciertamente interesante. Por ejemplo, de los 4.069 ataques de desfiguración de sitios reportados por hacktivistas en las últimas dos semanas, encontramos 3.480 dominios únicos dirigidos, pero limitados a solo 1.426 direcciones IP únicas. Yendo un paso más allá, encontramos solo alrededor de 271 ASN únicos (Números de Sistema Autónomo) asociados con la misma lista de destino.

Estas estadísticas hablan mucho de los tipos de objetivos que estos hacktivistas están persiguiendo. Si todavía te estás preguntando si tu propio sitio está en riesgo… ¡bueno lo es! Podrías pensar que los sitios menos objeto de tráfico son demasiado pequeños para quedar atrapados en esta guerra, pero la realidad es que los atacantes están aprovechando todas las oportunidades que pueden conseguir para publicar su bandera en el sitio de alguien en nombre del hacktivismo. Si bien no podemos hablar de los motivos de cada AP individual, es probable que la mayoría tenga algún deseo de ganar credibilidad y estimular el orgullo mientras se publican en una sala llena de personas que esperan celebrar sus éxitos. Pasemos por algunos ejemplos para ilustrar nuestra hipótesis.

Actor de amenaza: SanRei

En este ejemplo, veamos un TA que lleva el nombre de SanRei. Este individuo se dirigió a 69 dominios únicos a través de 23 direcciones IP únicas y 15 ASN. El setenta y dos por ciento de los objetivos de SanRei se encuentran dentro del ASN de un solo proveedor de hosting.

Además, después de analizar nueve dominios, encontramos que varios de los sitios contenían el mismo texto/copia, pero con diferentes gráficos, diseños de página y temas. Los sitios ciertamente parecen relacionados. Si la TA creó y controló los sitios, que luego desfiguraron y se jactaron en un canal de Telegram, es difícil de probar, pero ciertamente es una posibilidad fuerte.

Sitios web con contenido muy similar, alojados en la misma IP, más tarde afirmaron ser desfigurados por SanRai.

Actor de Amenaza: ./BRILLANTE

A continuación, examinando el trabajo de una TA que lleva el nombre ./BRILLIANT, encontramos que este individuo se dirigió a 1.112 dominios únicos a través de 229 direcciones IP únicas y 61 ASN. El setenta por ciento de los dominios objetivo BRILLANTES están dentro de la ASN de Universitas Gadjah Mada. Parece probable que ./BRILLIANT encontró una vulnerabilidad dentro de una sola aplicación que aloja una serie de blogs individuales en *.web.ugm.ac.id.

Successful attacks were highly concentrated on a single ASN

En el valor nominal, . / BRILLIANT parece que comprometieron más de 700 sitios web, pero la realidad probable es que aparecieron uno y aprovecharon ese acceso para manipular muchos blogs individuales. Todo el éxito de uno a muchos compromisos.

Actor de amenaza: AnonCyber504_ID

Estos hacktivistas no solo se han dirigido a sitios web y blogs falsos, los sitios web comerciales legítimos también están en su lista de objetivos. El actor de amenazas AnonCyber504_ID se dirigió a 60 dominios únicos en 37 direcciones IP únicas y 16 ASN. Cuarenta y seis por ciento de los objetivos de AnonCyber504 se encuentran dentro de la ASN de un proveedor de hosting, y muchos parecen pertenecer a negocios legítimos.

Message left by AnonCyber504 on legitimate business websites

Si bien ninguno de los sitios desfigurados que examinamos pertenece a una compañía Fortune 500, el punto aquí es que los hacktivistas y otros AT parecen estar apuntando a sitios indiscriminadamente, ya sean grandes o pequeños, empresas gubernamentales o privadas.

Conclusión

Estamos seguros de que has oído hablar de la mayoría de estos antes, pero ¿qué se puede hacer para proteger su sitio web de ataques hacktivistas de uno a muchos?

Autenticación multifactor
¿Está cansado de ver esto en la lista de recomendaciones todavía? Hay un dicho, “Cuando estás cansado de decirlo, la gente está empezando a escucharlo”. En ese caso, asegúrese de que tiene MFA aplicado en todas las cuentas con acceso a sus recursos web y paneles de administración.

Protección Endpoint
Sabemos que es posible que tenga ese proyecto de implementación de protección Endpoint que se estancó hace seis meses. Haz girar de nuevo, es hora de convertirlo en una prioridad. Eso puede ayudar mucho a reducir su carga de trabajo de seguridad en el camino.

El parche de gestión
es una tarea ingrata y se ejecuta para siempre, pero es extremadamente necesario. ¿Cómo crees que estos ataques uno a muchos están ocurriendo? Tómese el tiempo para construir un buen programa, se lo agradecerá a largo plazo.

Aplicación Web y Protección API
Como mencionamos antes, el parcheo es difícil, pero cuando se aprovecha un buen firewall de aplicaciones web (WAF), especialmente uno entregado en la nube con protección DDoS incorporada, seguridad API, y la administración de bots, podrá respirar más fácilmente sabiendo que puede permanecer protegido entre el momento en que se descubre una vulnerabilidad y se implementa un parche, con capacidades como parches virtuales.

Proteja todos sus sitios
Si bien la mayoría de las organizaciones maduras tienen muchas de estas medidas de seguridad en su lugar, las recientes actividades llevadas a cabo por los hacktivistas subrayan la importancia de proteger todos sus activos web, no solo sus sitios «joya de la corona».

Educación del usuario
Esta frase crea muchas náuseas, pero creemos que está completamente subestimada. No nos sorprendería que la mayoría de estos compromisos de uno a muchos comenzaran con un ataque de phishing. Tómese el tiempo para asegurarse de que su equipo entienda por qué todos estos controles de seguridad son necesarios. La clave aquí es asegurarse de que sea oportuno, relevante y atractivo. ¿Tener problemas para hacerlo atractivo? Comunícate; nuestro equipo tiene un montón de ideas para ayudar.

Para obtener más información sobre la galardonada solución de Protección de Aplicaciones Web y API (WAAP) de Edgio , póngase en contacto con uno de nuestros expertos en seguridad hoy mismo.