Prayukth KV
Descifrando el ciberataque a Jaguar Land Rover
En un incidente cibernético importante, la empresa automotriz líder, Jaguar Land Rover enfrentó un incidente cibernético la semana pasada que llevó a un cierre forzoso de sistemas en múltiples sitios. La compañía estaba haciendo su mejor esfuerzo para reiniciar los sistemas afectados. El incidente ha afectado principalmente la producción, incluida la producción de repuestos, lo que ha afectado el servicio de vehículos debido a la falta de repuestos.
Entonces, ¿qué salió mal?
Según fuentes y Jaguar Land Rover, el incidente comenzó cuando la empresa descubrió una “intrusión no autorizada” en su red. La intrusión fue descubierta cuando se notó una actividad anómala en una red periférica y fue reportada por un empleado. Jaguar Land Rover luego inició una serie de medidas como parte de su política de respuesta a incidentes para contener la intrusión, incluyendo:
· Apagar sistemas
· Bloquear accesos y privilegios a los sistemas afectados
· Cerrar líneas de producción con sistemas conectados
· Lanzar una investigación interna
· Contratar agencias externas para una investigación forense más detallada
Desmenuzando el ataque y el actor de amenaza detrás de él
Los orígenes del ataque se pueden rastrear a una campaña de ingeniería social/Vishing que el actor de amenaza ShinyHunters llevó a cabo hace unas semanas. ShinyHunters es conocido por apuntar a marcas bien conocidas a nivel mundial en campañas. El grupo comenzó sus actividades apuntando a vulnerabilidades conocidas a través de aplicaciones en la nube y bases de datos de uso restringido, y luego decidió cambiar de rumbo cuando se dio cuenta de que sus actividades no estaban produciendo el nivel de resultados que buscaba.
ShinyHunters, en asociación con otro actor de amenaza Scattered Spider, luego comenzó a ir tras grandes administradores de bases de datos corporativas para obtener datos y credenciales más relevantes. Scattered Lapsus$ Hunters (también conocido como SCATTERED SP1D3R HUNTERS AKA THE COMHQ), un grupo dentro de ShinyHunters, decidió utilizar la base de datos robada por ShinyHunters para ejecutar campañas de ransomware a gran escala dirigidas a importantes marcas globales. Fue una de estas campañas la que contribuyó a este ataque a Jaguar Land Rover.
Scattered Lapsus$ Hunters no es más que otra identidad de marca de ShinyHunters y posiblemente una variante rebautizada de AlphV. La rebranding constante está diseñada para mantener ocupadas a las agencias de aplicación de la ley persiguiendo pistas vacías. De hecho, cuando uno analiza las comunicaciones de estos tres grupos de amenazas, hay muy poco esfuerzo puesto en disfrazar su origen común.
Bien podría ser que estos 3 grupos no solo comparten miembros, sino que también operan bajo una sola bandera y un conjunto único de cerebros. Dado que Scattered Lapsus$ Hunters también opera un Ransomware-como-servicio, es posible que las credenciales robadas estén siendo activamente comercializadas por este grupo.
Scattered Lapsus$ Hunters también ha colocado una amenaza de rescate a Google pidiéndoles despedir a dos investigadores de seguridad clave y abandonar una investigación en curso contra ellos o enfrentar el riesgo de una posible filtración de datos. También son conocidos por ejecutar campañas en redes sociales para determinar sus próximos objetivos. Una campaña reciente los tuvo pidiendo a seguidores que indicaran si querían apuntar a la compañía de bebidas más grande del mundo y a un servicio de entrega de alimentos en India. Ambas compañías han sido posteriormente blanco del grupo.
TTP
· Primer nivel o acceso inicial: Despliegue de aplicaciones OAuth usando cuentas de prueba seguido de cuentas comprometidas de organizaciones no relacionadas.
· Vishing e ingeniería social dirigida: Llamadas a empleados clave usando muestras de voz generadas por IA y simulando helpdesk/soporte.
· Robo de datos: La exfiltración se realiza mediante scripts de Python diseñados que imitan operaciones de DataLoader.
· Infraestructura utilizada: Las llamadas de vishing se enrutan a través de IPs de VPN, mientras que los datos se transfieren a través de nodos de salida TOR.
· Amenazas: El primer nivel de amenazas podría ser simple y directo seguido de una demanda de pago inmediato dirigida al CEO de la organización víctima.
Nuestra teoría sobre cómo sucedió el ataque y cómo progresó
Se utilizó información de ataques anteriores realizados por Scattered Lapsus$ Hunters y otros actores de amenazas para llevar a cabo un ataque en ciertos segmentos de la infraestructura de Jaguar Land Rover. Además, se realizó un ataque de vishing en el CRM usando un ataque de vishing. El ataque al CRM expuso credenciales comunes que luego fueron utilizadas para acceder y manipular aplicaciones con acceso basado en VPN.
Una vez que el ataque tuvo éxito, el actor de amenaza procedió a seguir su plan de TTP para moverse a través de la red de JLR y escalar privilegios en una o más aplicaciones clave. Luego, se eliminaron varias consultas de robo de datos usando direcciones IP TOR. El tráfico TOR pudo haberse mezclado con el tráfico regular para evitar la detección. Los datos también posiblemente fueron exfiltrados a través de nodos de salida TOR.
Una vez que las aplicaciones principales fueron accesibles y los datos fueron exfiltrados, el actor desplegó un ransomware modular y lo activó para completar las dos primeras fases del ataque. La encriptación de los datos alertó a los equipos de seguridad en la organización sobre la violación y luego se tomaron medidas rápidas para controlar la violación y aislar los sistemas.
Debido a la detección tardía, el ataque se propagó a través de la organización utilizando ERP y otras aplicaciones conectadas.
Entonces, ¿qué se puede hacer para proteger su infraestructura contra tales ataques?
· Evaluar la integración de aplicaciones: Las aplicaciones deben ser tratadas como nodos para la manipulación por parte de actores de amenazas y los privilegios deben otorgarse solo en base a necesidad y revocarse cuando no estén en uso.
· Autenticar solicitudes por llamada: Cualquier solicitud hecha a través de llamadas debe ser autenticada a través de al menos dos modos de autenticación offline más antes de que se otorgue la solicitud.
· Adoptar un enfoque de tolerancia cero al riesgo: Cualquier cantidad de riesgo residual vinculado a los datos debe ser mitigado y no debe permitirse que permanezca en el registro de riesgos como “riesgo aceptable”.
· Llevar a cabo una evaluación de riesgos específica de terceros y respuesta a incidentes: Esto se puede hacer para comprobar su susceptibilidad a un tipo de ataque mencionado anteriormente.
Hable con nuestro experto en incidentes cibernéticos o programe una consulta gratuita con nuestro consultor de riesgos de terceros.
Lea nuestro blog sobre gestión de vulnerabilidades OT.
Recibe semanalmente
Recursos y Noticias
También te puede interesar
Deep dive into the Stryker cyberattack and the blind spot few are talking about
Prayukth K V
How Iranian threat actors are operating without connectivity
Prayukth K V
As global conflicts escalate, APT playbooks are quietly changing
Prayukth K V
Iranian threat actors return; actually they never left
Prayukth K V
NERC CIP-015-2 Explicado: Ampliación de INSM a EACMS y PACS
Equipo Shieldworkz
Protegiendo la infraestructura crítica de los grupos APT durante eventos geopolíticos
Prayukth K V
