El panorama de las amenazas cibernéticas está en constante evolución, y los grupos de hackers no se quedan atrás. Un ejemplo reciente lo encontramos en el grupo TA577, conocido por su actividad como intermediario de acceso inicial (IAB) y su asociación con el ransomware Black Basta. Este grupo ha implementado una nueva táctica en sus ataques: el robo de hashes de autenticación NTLM de Windows a través de correos electrónicos de phishing.
¿Qué son los hashes NTLM?
NTLM (NT LAN Manager) es un protocolo de autenticación utilizado en Windows para verificar la identidad de los usuarios en una red. Los hashes NTLM son valores criptográficos que se generan a partir de la contraseña del usuario. Si un atacante logra obtener estos hashes, podría descifrarlos y obtener acceso a las cuentas de los usuarios.
¿Cómo funciona el ataque?
Los correos electrónicos de phishing enviados por TA577 simulan ser comunicaciones legítimas de empresas o entidades conocidas. Estos correos electrónicos suelen contener un archivo adjunto infectado o un enlace que, al ser abierto por el usuario, descarga malware en el dispositivo.
El malware instalado en el dispositivo del usuario busca y recopila los hashes NTLM almacenados en el sistema. Estos hashes pueden ser utilizados posteriormente por los atacantes para:
- Realizar ataques de fuerza bruta: Los hashes NTLM pueden ser descifrados mediante ataques de fuerza bruta para obtener la contraseña del usuario.
- Pass-the-hash: Los hashes NTLM pueden ser utilizados para «pasar» la autenticación a otros sistemas sin necesidad de conocer la contraseña del usuario.
¿Cómo protegerse?
Para protegerse de este tipo de ataques, es importante:
- Estar atento a los correos electrónicos de phishing: No abrir correos electrónicos de remitentes desconocidos o que parezcan sospechosos.
- No descargar archivos adjuntos de correos electrónicos no verificados: Si un correo electrónico contiene un archivo adjunto, no lo descargue a menos que esté seguro de que es legítimo.
- Mantener el software actualizado: Instalar las últimas actualizaciones de seguridad para el sistema operativo y las aplicaciones.
- Utilizar contraseñas seguras y únicas: No utilizar la misma contraseña para diferentes cuentas.
- Utilizar un antivirus y un cortafuegos: Instalar un antivirus y un cortafuegos de confianza para proteger el dispositivo de malware.
Recomendaciones adicionales:
- Implementar la autenticación multifactor (MFA): La MFA añade una capa adicional de seguridad a las cuentas de usuario, requiriendo un segundo factor de autenticación además de la contraseña.
- Realizar copias de seguridad de forma regular: Las copias de seguridad pueden ser útiles para restaurar los datos en caso de un ataque de ransomware.
- Capacitar a los empleados en materia de seguridad informática: Es importante que los empleados sean conscientes de las últimas amenazas cibernéticas y sepan cómo identificar y evitar los ataques de phishing.
El robo de hashes NTLM de Windows a través de correos electrónicos de phishing es una nueva táctica que está siendo utilizada por grupos de hackers como TA577. Para protegerse de este tipo de ataques, es importante tomar medidas de seguridad como las mencionadas anteriormente.
Descubre más desde Tecnología Geeks- Noticias Tecnológicas y gadgets
Suscríbete y recibe las últimas entradas en tu correo electrónico.
💬 ¡Tu opinión importa!
¿Qué piensas sobre esta publicación? Únete a la conversación en nuestro foro y comparte tu punto de vista.
👉 Ir al Foro ➕ Regístrate y Abre un Nuevo Tema
