La Oficina Federal de Investigaciones de EE.UU., conocida popularmente por sus siglas como "el FBI", ha enviado un comunicado a la industria privada (PIN) en la cual alerta a las organizaciones que los actores de amenazas vinculados a Irán están tratando de comprar información robada que pertenece a empresas y organizaciones estadounidenses.
Parece que los actores iraníes del estado-nación están intentando hacerse con estos datos para la venta en el mercado clandestino y, finalmente, lanzar ataques conta las empresas americanas.
Aquellas compañías y organizaciones que ya hayan sufrido filtraciones en el pasado corren el riesgo de sufrir ciberataques orquestados por un actor de amenazas por el momento anónimo vinculad a Irán.
Desde las autoridades de EE.UU se teme que se realicen ataques contra operadores en industrias críticas, ya que esta amenaza estaría especialmente intereda en acceder a los sistemas SCADA (concepto de software que permite controlar y supervisar procesos industriales a distancia). Al obtenerlo, tendrían la potestad para interrumpir los procesos de las organizaciones objetivo.
“El actor ha demostrado interés en conjuntos de datos filtrados en varios lugares, incluidos foros web y la web oscura. El FBI juzga que este actor puede intentar aprovechar la información de estos conjuntos de datos filtrados, como la información de la red y la correspondencia por correo electrónico, para realizar sus propias operaciones cibernéticas contra organizaciones estadounidenses", recoge parte del comunicado.
Cómo pueden protegerse
Con el fin de protegerse convenientemente, el FBI invita a las empresas y organismos afectados por violaciones de seguridad en el pasado a que restablezcan las contraseñas, mejoren la seguridad de los sistemas expuestos online y les trasladen la advertencia a sus empleados.
Las autoridades han publicado información sobre tácticas, técnicas y procedimientos asociados con el actor de amenazas iraní, como el uso de de herramientas de autoexplotación para configurar una red de sitios de WordPress comprometidos para su posible uso como una botnet de escaneo de RDP, o para permitir el acceso de webshell a organizaciones específicas. Asimismo, los hackers también se sirven de SQLmap para eludir los firewalls de aplicaciones web.