\n<\/p>\n
La agencia de seguridad cibern\u00e9tica del gobierno de EE. UU. ha advertido que los piratas inform\u00e1ticos criminales motivados financieramente pusieron en peligro a las agencias federales mediante el uso de software de escritorio remoto leg\u00edtimo.<\/p>\n
CISA dijo en un aviso conjunto con la Agencia de Seguridad Nacional el mi\u00e9rcoles que hab\u00eda identificado una \u00abcampa\u00f1a cibern\u00e9tica generalizada que involucraba el uso malicioso de software leg\u00edtimo de monitoreo y administraci\u00f3n remotos (RMM)\u00bb que se hab\u00eda dirigido a m\u00faltiples agencias del poder ejecutivo civil federal, conocidas como FCEB. \u2014 una lista que incluye Seguridad Nacional, el Tesoro y el Departamento de Justicia.<\/p>\n
CISA dijo que primero identific\u00f3 actividad maliciosa sospechosa en dos sistemas FCEB en octubre mientras realizaba un an\u00e1lisis retrospectivo utilizando Einstein, un sistema de detecci\u00f3n de intrusos operado por el gobierno que se utiliza para proteger las redes de agencias civiles federales. Un an\u00e1lisis posterior llev\u00f3 a la conclusi\u00f3n de que muchas otras redes gubernamentales tambi\u00e9n se vieron afectadas.<\/p>\n
CISA vincul\u00f3 esta actividad con una campa\u00f1a de phishing con fines financieros descubierta por primera vez por la firma de inteligencia de amenazas Silent Push. Pero CISA no nombr\u00f3 a las agencias FCEB afectadas y no respondi\u00f3 a las preguntas de TechCrunch.<\/p>\n
Los atacantes an\u00f3nimos detr\u00e1s de esta campa\u00f1a comenzaron a enviar correos electr\u00f3nicos de phishing con el tema de la mesa de ayuda a las direcciones de correo electr\u00f3nico personales y gubernamentales de los empleados federales a mediados de junio de 2022, seg\u00fan CISA. Estos correos electr\u00f3nicos conten\u00edan un enlace a un sitio malicioso de \u00abprimera etapa\u00bb que se hac\u00eda pasar por empresas de alto perfil, incluidas Microsoft y Amazon, o incitaban a la v\u00edctima a llamar a los piratas inform\u00e1ticos, quienes luego intentaban enga\u00f1ar a los empleados para que visitaran el dominio malicioso.<\/p>\n
Estos correos electr\u00f3nicos de phishing condujeron a la descarga de software de acceso remoto leg\u00edtimo, ScreenConnect (ahora ConnectWise Control) y AnyDesk, que los piratas inform\u00e1ticos an\u00f3nimos utilizaron como parte de una estafa de reembolso para robar dinero de las cuentas bancarias de las v\u00edctimas. Estas herramientas de acceso remoto autohospedadas pueden permitir a los administradores de TI un acceso casi instant\u00e1neo a la computadora de un empleado con una interacci\u00f3n m\u00ednima por parte del usuario, pero los ciberdelincuentes han abusado de ellas para lanzar estafas de apariencia convincente.<\/p>\n
En este caso, y seg\u00fan CISA, los ciberdelincuentes utilizaron el software de acceso remoto para enga\u00f1ar al empleado para que accediera a su cuenta bancaria. Los piratas inform\u00e1ticos utilizaron su acceso remoto para modificar el resumen de la cuenta bancaria del destinatario. \u201cLos atacantes usaron el software de acceso remoto para cambiar la informaci\u00f3n del resumen de la cuenta bancaria de la v\u00edctima para mostrar que hab\u00edan reembolsado por error una cantidad de dinero en exceso y luego le indicaron a la v\u00edctima que ‘reembolse’ esta cantidad en exceso\u201d, dijo CISA.<\/p>\n
CISA advierte que los atacantes tambi\u00e9n podr\u00edan usar software leg\u00edtimo de acceso remoto como puerta trasera para mantener un acceso persistente a las redes gubernamentales. \u201cAunque esta actividad espec\u00edfica parece tener una motivaci\u00f3n financiera y est\u00e1 dirigida a individuos, el acceso podr\u00eda conducir a una actividad maliciosa adicional contra la organizaci\u00f3n del destinatario, tanto de otros ciberdelincuentes como de actores APT\u201d, dijo el aviso.<\/p>\n<\/p><\/div>\n