Los ciberdelincuentes están aprovechando vulnerabilidades en infraestructuras de red obsoletas para llevar a cabo actividades de espionaje y extorsión, manteniéndose ocultos dentro de las redes corporativas para acceder a información sensible. Según revela la investigación más reciente de Talos, la división de ciberinteligencia de Cisco, tanto grupos dedicados al ransomware, que buscan chantajear mediante el uso de dispositivos vulnerables, como ataques de amenazas persistentes avanzadas (APTs) están explotando estos puntos débiles. Estos actores acceden a dispositivos que están desactualizados o poseen vulnerabilidades críticas sin parches.
La investigación identifica diferencias en las metodologías empleadas por los grupos de ransomware y los ataques APT, destacando la importancia de los dispositivos de red como puntos de acceso críticos para los atacantes. Una vez que logran comprometer un dispositivo, tales como routers, pueden penetrar y operar dentro de la red afectada.
Cisco Talos ha identificado las tres tácticas post-compromiso más frecuentemente utilizadas por los atacantes: la modificación del firmware de los dispositivos, la carga de firmware personalizado o comprometido y la evasión de las medidas de seguridad. Las APTs, por ejemplo, modifican el firmware de dispositivos antiguos para introducir funcionalidades maliciosas o puertas traseras, lo que les facilita ampliar su presencia dentro de la red. En casos donde se requiere mayor acceso, recurren a firmware personalizado o desactualizado que contenga vulnerabilidades conocidas.
Estos actores también intentan sortear diversas medidas de seguridad, como la modificación o eliminación de listas de control de acceso, la desactivación del registro remoto, la adición de cuentas de usuario con privilegios elevados y la reconfiguración de cadenas de comunidad SNMP.
Ángel Ortiz, Director de Ciberseguridad en Cisco, subraya la complejidad de estos ataques y la necesidad de mantener los dispositivos de red actualizados y monitorear continuamente el entorno de red para detectar cambios no autorizados. Esto es crucial para prevenir ataques, dado que su ejecución requiere una amplia experiencia y se asocia generalmente con los actores de amenazas más sofisticados.