Un supuesto actor de amenazas con sede en China se ocultó en la red de TI de una organización durante unos tres años, en parte explotando dispositivos de red sin parches. Eso es según los investigadores de Cignea que fueron llamados para investigar el ataque. Apodaron al grupo atacante Velvet Ant..
Su objetivo era el espionaje. Una táctica era comprometer dos firewalls de IP grandes heredados de F5 que ejecutaban una versión obsoleta del sistema operativo que estaban expuestos a Internet. El atacante lo utilizó para el comando y control interno.
De hecho, la banda explotó varios puntos de entrada para ingresar a la red de TI y mantuvo la persistencia. Este atacante era tan hábil que tan pronto como los defensores descubrieron un punto de apoyo, la banda rápidamente se trasladó a otro. ¿Una de las debilidades de la organización?
Algunos de los sistemas de TI no estaban monitoreados. Por ejemplo, algunos servidores Windows no estaban conectados al software de detección y respuesta de puntos finales de la organización. Una junta de salud en el suroeste de Escocia está notificando a todos en la región esta semana que asuman que la información personal que tienen en su poder probablemente será publicada por una banda de ransomware. En la carta a decenas de miles de residentes, el director ejecutivo del Distrito de Salud de Dumfries y Galloway, dice, los datos publicados el 6 de mayo incluían radiografías, resultados de pruebas y cartas entre profesionales de la salud. También en el Reino Unido, el investigador de ciberseguridad Jeremiah Fowler ha descubierto otra empresa cuyos empleados crearon una base de datos desprotegida abierta a Internet con información personal que cualquiera podría haber copiado.
July 6th 2024