Ni siquiera las compañías de seguridad están a salvo de un ciberataque. Especialistas en auditorías de sistemas reportan que la firma desarrolladora de software Avast ha sido objetivo de un ataque a sus redes internas. A través de un comunicado, la compañía con sede en República Checa mencionó que lo más probable es que los hackers trataran de inyectar malware en el código de la herramienta CCleaner, de forma similar al incidente ocurrido hace un par de años.
Aparentemente, la intrusión se produjo debido a que los actores de amenazas comprometieron las credenciales de red privada virtual (VPN) de uno de los empleados de Avast, consiguiendo acceso a una cuenta sin capas de seguridad adicionales, como autenticación multi factor.
Los equipos de auditorías de sistemas de la compañía mencionaron que las redes internas mostraban indicios de actividad sospechosa desde al menos hace cuatro meses; no obstante, la intrusión fue confirmada hasta el pasado 23 de septiembre. “Aunque el usuario objetivo no contaba con privilegios de administrador, los hackers realizaron una escalada de privilegios para obtener amplio acceso al dominio”, mencionó el jefe de Seguridad Informática de Avast, Jaya Baloo.
Los equipos de Avast también se encuentran dando seguimiento a nuevas alertas de seguridad en su panel de control de Microsoft Advanced Threat Analytics (ATA), una herramienta para el análisis de tráfico y de redes locales para prevenir ataques externos. Los expertos en auditorías de sistemas de Avast incluso dejaron activo el perfil VPN del usuario objetivo del ataque, con la intención de rastrear el origen de la actividad maliciosa.
Posteriormente, el pasado 15 de octubre, la compañía terminó de realizar análisis de seguridad en las versiones de CCleaner anteriores, además de lanzar una nueva actualización, ya sin los errores presentes en las implementaciones anteriores.
Otra medida de seguridad implementada por Avast fue cambiar el certificado digital usado para firmar las actualizaciones de CCleaner, por lo que la actualización más reciente cuenta con un certificado completamente nuevo, mientras que los certificados antiguos han sido revocados. “De esta forma, los hackers ya no podrán usar estos certificados para firmar actualizaciones falsas”, añadió la compañía.
Para finalizar, la compañía restableció las credenciales VPN de todos sus empleados. “Confiamos que estas medidas sean suficientes para garantizar la seguridad de todos los usuarios de CCleaner”, añadió Jaya Baloo. Avast notificó en tiempo y forma el incidente a BIS, el servicio de inteligencia de República Checa; el Departamento de Ciberseguridad de la policía checa también fue notificado.
Aunque no es posible revelar mayores detalles sobre el incidente debido a la investigación en curso, Avast afirmó que hasta el momento no hay evidencia que sugiera que el mismo grupo que hackeó CCleaner hace un par de años sea responsable de este incidente también.
En 2017, especialistas en auditorías de sistemas del Instituto Internacional de Seguridad Cibernética (IICS) reportaron que la empresa Piriform, antiguos desarrolladores de CCleaner, fue hackeada. Un grupo de hackers logró acceder a las redes de la compañía usando una cuenta de TeamViewer. Una vez dentro de las redes de Piriform, los actores de amenazas inyectaron un peligroso malware en el código de CCleaner. El ataque fue atribuido a grupos de hackers respaldados por el gobierno de China.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad