El inquietante ataque a la cadena de suministro contra el proveedor de VoIP 3CX salió a la luz el miércoles, pero parece que los piratas informáticos detrás del ataque han estado tratando de infectar a los usuarios de 3CX durante semanas.
Los hallazgos provienen del proveedor de ciberseguridad SentinelOne, que ofrece protección antivirus de nivel empresarial para computadoras. Los datos de la compañía ahora muestran(Se abre en una nueva ventana) los piratas informáticos detrás del ataque comenzaron a tratar de infectar a los usuarios de la aplicación de escritorio 3CX Mac desde el 8 de marzo.
Eso significa que los piratas informáticos pueden haber tenido 21 días para entregar malware en secreto a los usuarios antes de que 3CX se diera cuenta de que su software había sido violado. Aproximadamente 600.000 empresas, incluidas(Se abre en una nueva ventana) las principales marcas como Coca-Cola, Holiday Inn y BMW utilizan el software 3CX.
El ataque a la cadena de suministro involucró a los piratas informáticos que secuestraron la aplicación de escritorio 3CX para Windows y Mac, y la activaron para descargar malware en computadoras seleccionadas. Varias compañías de antivirus detectaron un aumento de actividad maliciosa a través de la aplicación de escritorio 3CX el miércoles, dejando en claro que la amenaza estaba muy extendida.
Pero resultó que el software de SentinelOne había comenzado a marcar la aplicación 3CX como maliciosa una semana antes, según(Se abre en una nueva ventana) a las propias publicaciones del foro de 3CX. En un hilo que comenzó el 22 de marzo, algunos usuarios informaron que el sistema antivirus de SentinelOne estaba marcando la aplicación de escritorio 3CX como una amenaza. Pero en ese momento, no estaba claro si la detección fue un falso positivo o un riesgo real.
(Crédito: foro 3CX)
En Twitter, JA Guerrero-Saade, director de SentinelOne, anotado(Se abre en una nueva ventana) la compañía había «bloqueado miles de intentos de infección a partir del 22 de marzo». Eso naturalmente hizo que algunos, incluido el propio CEO de 3CX, se preguntaran por qué SentinelOne no había alertado antes al público sobre la amenaza.
“Sorprendente que no nos haya informado de este asunto antes, habría sido lo correcto”, dijo el CEO de 3CX, Nick Galea. tuiteó(Se abre en una nueva ventana) ayer. “Para mí, eso demuestra que no estás realmente preocupado por la seguridad de las personas”.
En respuesta, Guerrero-Saade dijo que los propios usuarios de 3CX habían planteado el asunto a la empresa en los foros de soporte una semana antes. “Este asunto le llamó la atención debido a las detecciones de SentinelOne, planteadas en sus foros de soporte desde el 22 de marzo, y no se abordó”, dijo. escribió(Se abre en una nueva ventana). “Estábamos ocupados protegiendo a los clientes, eliminando la infraestructura de Github y analizando las cargas útiles de la siguiente etapa. Feliz de colaborar en el futuro.”
Nos comunicamos con SentinelOne para obtener comentarios adicionales y actualizaremos la historia si recibimos una respuesta.
Recomendado por Nuestros Editores
No está claro cómo se violó 3CX. Pero existe una creciente preocupación de que los piratas informáticos pertenezcan a un infame grupo norcoreano conocido como Lazarus, que el FBI vinculó con el pirateo de Sony Pictures en 2014 y los grandes robos en bancos y casas de cambio de criptomonedas.
Empresas de ciberseguridad Crowdstrike(Se abre en una nueva ventana) y Sophos(Se abre en una nueva ventana) descubrió evidencia de que las técnicas utilizadas en el ataque 3CX coinciden con las de Lazarus.
Mientras tanto, 3CX dice(Se abre en una nueva ventana) contrató a la unidad de ciberseguridad Mandiant para investigar la violación. La compañía les está diciendo a los usuarios que desinstalen la aplicación de escritorio 3CX hasta que se pueda lanzar una nueva versión.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.