Los atacantes ya conocidos por sus impactos confirmados en el pasado, aseguran tener una muestra de datos para evaluar, a la que se podría acceder por un único pago de $200 USD.
Viernes, 23 de septiembre. Nuevamente el grupo llamado SGANARELLE2, vuelve a poner en la Darkweb nuevas ofertas vendiendo accesos VPN con privilegios de administrador basados en la plataforma Fortinet. Para este nuevo caso, la afectada es una compañía chilena de seguros que tiene ingresos superiores a los 25 millones de dólares por año.
Los atacantes ya conocidos por sus impactos confirmados en el pasado, aseguran tener una muestra de datos para evaluar, a la que se podría acceder por un único pago de $200 USD donde el comprador podrá determinar qué tan valiosa es la información y pasar a una compra de datos completa por $1.200 USD.
A través de nuestro grupo de inteligencia y monitoreo, se evaluaron los comentarios recientes y se ha identificado como posible víctima a Banchile Seguros de Vida, que se referencia al dominio banchile.cl como dato de acceso inicial.
Los detalles del compromiso no se han logrado calificar; sin embargo, se sugieren vulnerabilidades del sistema Fortinet y la ausencia de MFA en algunas cuentas de VPN que se lograron comprometer en 2021. DefensiONE recomienda a toda nuestra comunidad evaluar inmediatamente el estado de exposición de los sistemas VPN disponibles en sus organizaciones y asegurar el uso de MFA (autenticación de tipo multifactor) de forma obligatoria.
Fortinet es un sistema ampliamente usado en los proveedores de ISP donde, en algunos casos, hace parte de ofertas integrales de servicios de Housting, por ello recomendamos evaluar con sus proveedores ISP y de Collocation (DataCenter) el uso de sistemas VPN para gestión y soporte de TI. Estos sistemas, que suelen ser limitados al equipo de TI y soporte tecnológico, pueden ser parte de la cadena de debilidades explotables, por lo las revisiones deben incluir esta posibilidad y asegurar que los sistemas cuenten con MFA. De ser posible, se deben mover los sistemas de acceso remoto basados en VPN a sistemas tipo ZeroTrust o SASE.
Actualizaciones con detalles de IoC e IoW serán compartidos en EVA Defender Space.
Comparte esta nota en:
CENTRO DE INTELIGENCIA DE AMENAZAS EN UN SOLO LUGAR
COMPAÑÍA
- Trabaje con nosotros
- Contáctenos
- Quiénes somos
SERVICIOS
- ONE DETECTOR
- ONE DEFENDER
- ONE KEEPER
- Reciba alertas, actualizaciones, información clave y más, siendo parte de la comunidad DEFENSI.ONE
© 2021 por DEFENSIONE. Ciberseguridad | Defensa y Respuesta. Desarrollado por BALUTEK.
Spanish 
English