La Cruz Roja ha emitido una actualización respecto al ciberataque detectado en sus sistemas hace unas semanas, afirmando que el incidente fue producto de la explotación de una vulnerabilidad y ocurrió en noviembre de 2021, aunque fue descubierto y divulgado hasta el pasado mes de enero.
La agencia médica y humanitaria menciona que los hackers detrás del incidente explotaron la falla identificada como CVE-2021-40539, que reside en Zoho ManageEngine ADSelfService, una solución de administración de contraseñas e inicio de sesión único (SSO). La explotación permitió a los atacantes evadir la autenticación y colocar shells web en los sistemas afectados para realizar ataques de movimiento lateral.
El ataque impactó los sistemas de Restoring Family Links, un programa que facilita a los voluntarios de la Cruz Roja el trabajo de reunir a familiares separados por conflictos, desastres o migraciones. Al detectar el ataque, la organización pidió la comprensión de los hackers detrás del incidente, solicitando que los datos no fueran filtrados ya que pertenecen a personas en condiciones vulnerables.
La Cruz Roja también mencionó que las herramientas empleadas por los actores de amenazas son altamente sofisticadas, pues permitieron mantener una intrusión prolongada por casi 3 meses antes del ataque final. Si bien la organización asegura que esto es parte de una campaña de ciberataque, no se agregaron detalles sobre un potencial actor de amenazas en específico.
A finales de 2021, especialistas de Palo Alto Networks publicaron un informe detallado de la operación maliciosa identificada como APT27, auspiciada por el gobierno de China y especializada en la explotación de esta vulnerabilidad en Zoho, por lo que no sería extraño que este sea el grupo detrás del ataque a la Cruz Roja.
Este incidente llamó mucho la atención del Departamento de Estado de E.U., desde donde se emitió un comunicado externando su preocupación e invitando a las agencias no gubernamentales a reforzar sus medidas de seguridad ante las constantes amenazas que representan los grupos cibercriminales.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.