\n<\/aside>\n<\/p>\n
JumpCloud, un servicio de administraci\u00f3n de TI basado en la nube que incluye a Cars.com, GoFundMe y Foursquare entre sus 5000 clientes que pagan, experiment\u00f3 una brecha de seguridad llevada a cabo por piratas inform\u00e1ticos que trabajaban para un estado-naci\u00f3n, dijo la compa\u00f1\u00eda la semana pasada.<\/p>\n
El ataque comenz\u00f3 el 22 de junio como una campa\u00f1a de spear-phishing, revel\u00f3 la compa\u00f1\u00eda el mi\u00e9rcoles pasado. Como parte de ese incidente, dijo JumpCloud, el \u00absofisticado actor de amenazas patrocinado por el estado nacional\u00bb obtuvo acceso a una parte no especificada de la red interna de JumpCloud. Aunque los investigadores en ese momento no encontraron evidencia de que ning\u00fan cliente se viera afectado, la compa\u00f1\u00eda dijo que rot\u00f3 las credenciales de la cuenta, reconstruy\u00f3 sus sistemas y tom\u00f3 otras medidas defensivas.<\/p>\n
El 5 de julio, los investigadores descubrieron que la infracci\u00f3n involucr\u00f3 \u00abactividad inusual en el marco de comandos para un peque\u00f1o grupo de clientes\u00bb. En respuesta, el equipo de seguridad de la empresa realiz\u00f3 una rotaci\u00f3n forzada de todas las claves API de administraci\u00f3n y notific\u00f3 a los clientes afectados.<\/p>\n
A medida que los investigadores continuaron con su an\u00e1lisis, descubrieron que la violaci\u00f3n tambi\u00e9n involucr\u00f3 una \u00abinyecci\u00f3n de datos en el marco de comandos\u00bb, que la divulgaci\u00f3n describi\u00f3 como el \u00abvector de ataque\u00bb. La divulgaci\u00f3n no explic\u00f3 la conexi\u00f3n entre la inyecci\u00f3n de datos y el acceso obtenido por el ataque de phishing selectivo el 22 de junio. Ars le pidi\u00f3 detalles a JumpCloud PR y los empleados respondieron enviando la misma publicaci\u00f3n de divulgaci\u00f3n que omite dichos detalles.<\/p>\n
Los investigadores tambi\u00e9n descubrieron que el ataque estaba extremadamente dirigido y limitado a clientes espec\u00edficos, que la empresa no nombr\u00f3.<\/p>\n
JumpCloud dice en su sitio web que tiene una base de usuarios global de m\u00e1s de 200.000 organizaciones, con m\u00e1s de 5.000 clientes de pago. Incluyen Cars.com, GoFundMe, Grab, ClassPass, Uplight, Beyond Finance y Foursquare. JumpCloud ha recaudado m\u00e1s de 400 millones de d\u00f3lares de inversores, incluidos Sapphire Ventures, General Atlantic, Sands Capital, Atlassian y CrowdStrike.<\/p>\n
En la divulgaci\u00f3n de la semana pasada, el director de seguridad de la informaci\u00f3n de JumpCloud, Bob Phan, escribi\u00f3:<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\n\nEl 27 de junio a las 15:13 UTC, descubrimos una actividad an\u00f3mala en un sistema de orquestaci\u00f3n interno que rastreamos hasta una sofisticada campa\u00f1a de spear-phishing perpetrada por el actor de amenazas el 22 de junio. Esa actividad inclu\u00eda el acceso no autorizado a un \u00e1rea espec\u00edfica de nuestra infraestructura. No vimos evidencia de impacto en el cliente en ese momento. Por precauci\u00f3n, rotamos las credenciales, reconstruimos la infraestructura y tomamos una serie de otras acciones para proteger a\u00fan m\u00e1s nuestra red y nuestro per\u00edmetro. Adem\u00e1s, activamos nuestro plan de respuesta a incidentes preparado y trabajamos con nuestro socio de Respuesta a incidentes (IR) para analizar todos los sistemas y registros en busca de actividad potencial. Tambi\u00e9n fue en ese momento, como parte de nuestro plan IR, que contactamos e involucramos a la polic\u00eda en nuestra investigaci\u00f3n.<\/p>\n
JumpCloud Security Operations, en colaboraci\u00f3n con nuestros socios de IR y las fuerzas del orden, continuaron con la investigaci\u00f3n forense. El 5 de julio a las 03:35 UTC, descubrimos actividad inusual en el marco de comandos para un peque\u00f1o grupo de clientes. En este momento, ten\u00edamos evidencia del impacto en el cliente y comenzamos a trabajar en estrecha colaboraci\u00f3n con los clientes afectados para ayudarlos con medidas de seguridad adicionales. Tambi\u00e9n decidimos realizar una rotaci\u00f3n forzada de todas las claves API de administraci\u00f3n a partir del 5 de julio a las 23:11 UTC. Inmediatamente notificamos a los clientes de esta acci\u00f3n.<\/p>\n
El an\u00e1lisis continuo descubri\u00f3 el vector de ataque: la inyecci\u00f3n de datos en nuestro marco de comandos. El an\u00e1lisis tambi\u00e9n confirm\u00f3 las sospechas de que el ataque fue extremadamente dirigido y limitado a clientes espec\u00edficos. Lo que aprendimos nos permiti\u00f3 crear y ahora compartir una lista de IOC (Indicadores de Compromiso) que hemos observado para esta campa\u00f1a.<\/p>\n
Estos son adversarios sofisticados y persistentes con capacidades avanzadas. Nuestra l\u00ednea de defensa m\u00e1s fuerte es a trav\u00e9s del intercambio de informaci\u00f3n y la colaboraci\u00f3n. Por eso era importante para nosotros compartir los detalles de este incidente y ayudar a nuestros socios a proteger sus propios entornos contra esta amenaza. Continuaremos mejorando nuestras propias medidas de seguridad para proteger a nuestros clientes de amenazas futuras y trabajaremos de cerca con nuestros socios gubernamentales y de la industria para compartir informaci\u00f3n relacionada con esta amenaza.<\/p>\n<\/blockquote>\n
La compa\u00f1\u00eda tambi\u00e9n ha publicado una lista de direcciones IP, nombres de dominio y hashes criptogr\u00e1ficos utilizados por el atacante que otras organizaciones pueden usar para indicar si fueron atacados por los mismos atacantes. JumpCloud a\u00fan tiene que nombrar el pa\u00eds de origen u otros detalles sobre el grupo de amenazas responsable.<\/p>\n<\/p><\/div>\n
Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"JumpCloud, un servicio de administraci\u00f3n de TI basado en la nube que incluye a Cars.com, GoFundMe y Foursquare entre sus 5000 clientes que pagan, experiment\u00f3 una brecha de seguridad llevada…<\/p>\n","protected":false},"author":1,"featured_media":736063,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[99,1386,98033,976,97320,17189,5268,110,11234,63,73],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/736062"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=736062"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/736062\/revisions"}],"predecessor-version":[{"id":736064,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/736062\/revisions\/736064"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/736063"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=736062"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=736062"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=736062"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}