Un aumento dramático en los ataques de spray de contraseña dirigidos a la infraestructura empresarial, con los sistemas Cisco ASA VPN que experimentan un aumento del 399% sin precedentes en los ataques durante el primer trimestre de 2025, mientras que los servicios de autenticación de Microsoft 365 vieron un aumento del 21% en ataques similares.
Las estadísticas alarmantes revelan un cambio fundamental en las tácticas de actores de amenaza, ya que los cibercriminales giran cada vez más desde los sistemas de autenticación de servicios en la nube hasta la infraestructura de VPN corporativa tradicional.
Control de llave
1. Los ataques de Cisco ASA VPN aumentaron el 399% y los ataques de Microsoft 365 aumentaron un 21% en el primer trimestre de 2025.
2. Los cibercriminales usan contraseñas comunes contra múltiples nombres de usuario para evitar bloqueos de cuentas.
3. Healthcare lidera los sectores dirigidos, con los EE. UU. Como objetivo geográfico primario.
4. Los atacantes usan redes distribuidas, dificultando la atribución; Los sistemas VPN carecen de monitoreo robusto.
La investigación, realizada desde octubre de 2024 hasta marzo de 2025, demuestra cómo los atacantes están adaptando sus metodologías para explotar los mecanismos de autenticación vulnerables en varias plataformas.
Ataques de spray de contraseña dirigidos a Cisco ASA VPNS
Los ataques con contraseña representan una sofisticada metodología de fuerza bruta que aprovecha las direcciones IP distribuidas a nivel mundial a través de botnets y servicios proxy, lo que hace que la atribución sea muy difícil para los equipos de seguridad.
A diferencia de los ataques tradicionales de fuerza bruta que se dirigen a cuentas individuales con múltiples contraseñas, los ataques con contraseña utilizan contraseñas comunes contra numerosos nombres de usuario, pasando por alto efectivamente mecanismos de bloqueo de cuentas y sistemas de detección.
Según el último informe de Trellix Amenaza, un aumento del 399% en los ataques de Cisco ASA VPN indica un cambio estratégico por parte de los actores de amenaza para dirigirse a la infraestructura de red tradicional.
Los expertos en seguridad atribuyen este aumento dramático a las capacidades de monitoreo relativamente limitadas de los sistemas VPN en comparación con los proveedores de servicios en la nube.
“Los proveedores de servicios en la nube como Microsoft 365 ofrecen capacidades sofisticadas de detección de fortaleza bruta y contraseña, mientras que los sistemas VPN pueden no tener sistemas de monitoreo tan robustos”, Terlix, Terlix informe.
Los datos de la telemetría de Trellix indican que las organizaciones de atención médica encabezaron la lista de sectores específicos, seguidos de energía, seguro, venta minorista y educación.
La distribución geográfica muestra a los Estados Unidos liderando como el objetivo principal, con Canadá, Brasil, Australia y Argentina también experimentando volúmenes de ataque significativos.
Tácticas, técnicas y procedimientos avanzados (TTP)
La investigación revela que estas campañas de spray de contraseña emplean TTP diseñadas para maximizar el éxito y minimizar los riesgos de detección.
Los actores de amenazas explotan las políticas de contraseña débiles y las implementaciones parciales de autenticación multifactor (MFA), particularmente dirigidos a organizaciones con implementaciones de seguridad inconsistentes.
Los ataques demuestran un enfoque altamente dirigido, con ataques de autenticación de Microsoft 365 que muestran una reducción del 25% en el número de organizaciones específicas mientras mantienen un aumento del 21% en el volumen total de ataque.
Este patrón sugiere que los actores de amenaza están llevando a cabo un reconocimiento para obtener listas integrales de nombre de usuario para organizaciones específicas, ya sea a través de infracciones de datos o inferiendo nombres de usuario a través de técnicas de enumeración de los empleados.
El desafío de atribución se ve agravado por el uso de la infraestructura de ataque distribuido, incluidos los sistemas comprometidos y los servicios de proxy comerciales, lo que dificulta que los equipos de seguridad rastreen los ataques de regreso a sus fuentes originales.
El informe hace referencia específicamente al uso exitoso de las técnicas de pulverización de contraseña del grupo de amenazas de Midnight Blizzard Group para comprometer las cuentas de correo electrónico corporativas de Microsoft, destacando la efectividad de estas metodologías contra objetivos de alto valor.
Curiosamente, mientras que los sistemas Cisco ASA VPN y Microsoft 365 experimentaron aumentos en el volumen de ataque, los servicios de autenticación OKTA vieron una fuerte disminución en la orientación.
Los analistas de seguridad sugieren que este cambio puede indicar medidas defensivas mejoradas de OKTA o un pivote estratégico por parte de los actores de amenaza hacia plataformas con implementaciones de seguridad más débiles percibidas.
El informe enfatiza que estos ataques representan un alto rendimiento de la inversión para los ciberdelincuentes debido a su bajo riesgo de detección y dificultades de atribución.
Se aconseja a las organizaciones que implementen la implementación integral de MFA, fortalezcan las políticas de contraseña, mejoren el monitoreo de los sistemas de autenticación e implementen capacidades avanzadas de detección de fuerza bruta para mitigar estas amenazas en evolución.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}