Insights: Aumento del riesgo de ataques de tipo wiper

Unit 42 está rastreando un aumento en el riesgo de ataques de tipo wiper (borrado destructivo) relacionados con el conflicto con Irán, incluyendo múltiples incidentes relacionados que afectan a organizaciones en Israel y los EE. UU. Para obtener la inteligencia más reciente sobre ciberataques asociados con este conflicto, revise nuestro Informe de amenazas: Escalamiento del riesgo cibernético relacionado con Irán en marzo de 2026.

El vector principal de las recientes operaciones destructivas del grupo Handala Hack (también conocido como Void Manticore, COBALT MYSTIQUE y Storm-1084/Storm-0842) supuestamente involucra la explotación de la identidad mediante phishing y el acceso administrativo a través de Microsoft Intune. Handala Hack surgió por primera vez a finales de 2023. A pesar de sus mensajes iniciales alineados con el hacktivismo, la comunidad de inteligencia de amenazas evalúa actualmente que el grupo es una fachada dirigida por el Estado para el Ministerio de Inteligencia y Seguridad de Irán (MOIS).

El 6 de marzo, la Dirección Nacional de Ciberseguridad de Israel advirtió sobre ciberataques iraníes dirigidos a organizaciones israelíes con wipers:

“El Comando Cibernético Nacional ha recibido informes de varios casos en los que los atacantes obtuvieron acceso a redes corporativas y eliminaron servidores y estaciones de trabajo, con el objetivo de interrumpir las operaciones de las organizaciones atacadas. En algunos casos, el atacante contaba con datos de acceso de usuarios corporativos legítimos, que fueron utilizados para obtener el acceso inicial a la red.”

– Traducido de la fuente: Dirección Nacional de Ciberseguridad de Israel.

Las siguientes recomendaciones se basan en la información reportada públicamente hasta ahora y en la inteligencia de amenazas de Palo Alto Networks Unit 42, abordando específicamente las tácticas observadas por el actor de amenazas vinculado a Irán, Handala.

Recomendaciones proactivas de robustecimiento (Hardening)

Eliminar los privilegios permanentes (Standing Privileges)

Los derechos administrativos persistentes son el mayor factor de riesgo en los ataques de identidad modernos. Atacantes como Handala se dirigen a cuentas de alto valor con permisos "permanentes" (siempre activos) para facilitar un impacto inmediato.

• Acceso Just-In-Time (JIT): Implemente un modelo JIT para todos los roles administrativos. Las credenciales deben tener cero permisos por defecto y solo obtener derechos elevados a través de un proceso de activación formal. Una solución de gestión de identidades e infraestructura en la nube (CIEM) puede ayudar a identificar el riesgo de identidad en los recursos de la nube.
• Microsoft Entra Privileged Identity Management (PIM): Utilice Entra ID PIM para gestionar las asignaciones de roles elegibles. Requiera autenticación de múltiples factores (MFA), justificación comercial y, para roles de alto riesgo, aprobación manual antes de la activación.
• CyberArk Privileged Access Management (PAM): Para organizaciones con entornos híbridos o multi-nube complejos, utilice CyberArk para resguardar las credenciales administrativas y gestionar el aislamiento de sesiones. CyberArk puede proporcionar una zona de aterrizaje segura para los administradores, diseñada para garantizar que las credenciales de plataformas como Intune nunca residan en un endpoint potencialmente comprometido.

Robustecer las cuentas de administrador de Entra ID

• Limitar el recuento: Reduzca el número de cuentas de Administrador Global y Administrador de Intune al mínimo posible según las necesidades del negocio. Una herramienta como el panel de seguridad de identidad de Cortex puede ayudar a descubrir qué identidades poseen privilegios administrativos.
• Cuentas nativas de la nube: Utilice cuentas exclusivas de la nube (por ejemplo, admin@tenant.onmicrosoft.com) para los roles administrativos para evitar el movimiento lateral desde el Active Directory local a través del compromiso de una cuenta sincronizada.
• Cuentas de emergencia (Break-glass): Mantenga dos cuentas de acceso de emergencia que estén excluidas de las políticas de acceso condicional estándar, pero protegidas por MFA basado en hardware y monitoreadas con alertas de alta severidad. Considere permitir las capacidades de borrado masivo (mass wipe) únicamente desde cuentas de emergencia.
• Habilitar la aprobación multiadministrador (MAA): MAA requiere que un segundo administrador diferente revise y apruebe las acciones de alto impacto antes de que se ejecuten. Cree una política de acceso para acciones como borrar (wipe) o eliminar.

Mejorar los controles de seguridad específicos de Azure

• Control de acceso basado en roles (RBAC): Utilice específicamente el rol de Administrador de Intune, en lugar de otorgar derechos de Administrador Global al personal de gestión de dispositivos. Realice un inventario de las Entidades de Servicio (Service Principals) con permisos para la gestión de dispositivos, como DeviceManagementManagedDevices.ReadWrite.All.
• PIM para Grupos: En lugar de asignar roles a individuos, utilice PIM para Grupos (anteriormente Grupos de Acceso Privilegiado). Asigne el rol de Administrador de Intune a un grupo de seguridad y haga que los usuarios sean elegibles para ser miembros de ese grupo. Esto permite flujos de trabajo de aprobación y auditoría unificados.
• Acceso condicional para la elevación: Aplique políticas de fortaleza de autenticación durante la activación de PIM. Requiera llaves de hardware FIDO2 (YubiKeys) o Windows Hello para Empresas para activar roles que tengan el poder de emitir comandos de borrado (wipe). Además, permita los inicios de sesión únicamente desde rangos de direcciones IP corporativas o ubicaciones de confianza.
• Aprovechar las Estaciones de Trabajo Administrativas Seguras (SAW): Requiere que los Administradores Globales accedan a Azure desde Estaciones de Trabajo de Acceso Privilegiado (PAW) robustecidas. Utilice máquinas dedicadas empleadas únicamente para actividades administrativas y manejo de datos sensibles. Aplique el cumplimiento forzoso del endpoint (endpoint compliance) antes de permitir el acceso.

Seguridad de sesiones y tokens

• Reducir el tiempo de vida de las sesiones: Acorte la duración de las sesiones para los portales administrativos sensibles (por ejemplo, portales de Intune, Entra y Azure) a menos de 1 hora. Esto ayuda a limitar el área de impacto de un token de sesión robado.
• Protección de tokens: Habilite la Protección de Tokens (actualmente en vista previa para Entra ID) para vincular criptográficamente los tokens de sesión al dispositivo específico desde el cual se emitieron, ayudando a evitar que un atacante los reproduzca en una máquina diferente. Herramientas como el módulo de derivación de autenticación de Cortex XDR pueden ayudar a proteger contra ataques que intentan eludir los controles de autenticación, como los tokens.

Implementar programas de gobernanza y protección de datos

• Descubrir y etiquetar datos sensibles: Utilice capacidades de gestión de la postura de seguridad de datos (DSPM) para escanear y etiquetar datos sensibles en el entorno híbrido corporativo. Esta clasificación permite una segmentación granular, cifrado persistente y controles de seguridad automatizados. Hacerlo ayuda a garantizar que los activos más críticos de la organización estén protegidos independientemente de dónde residan.
• Aprovechar la prevención de pérdida de datos (DLP): Implemente tecnologías como el Enterprise DLP impulsado por IA de Palo Alto Networks para alertar y bloquear proactivamente los intentos de exfiltración de datos. Si las cuentas de almacenamiento envían significativamente más datos hacia el exterior de lo habitual, las organizaciones deben investigar de inmediato.

Monitoreo y preparación para la respuesta

• Integración de detección y respuesta gestionada (MDR) / respuesta y detección extendida (XDR): Asegúrese de que los registros de auditoría (específicamente las acciones de RemoteWipe y FactoryReset) de las herramientas de gestión de dispositivos como Intune, se integren en su plataforma de gestión de eventos e información de seguridad (SIEM) / XDR. Aproveche la automatización, como una plataforma de orquestación, automatización y respuesta de seguridad (SOAR), para responder rápidamente a eventos maliciosos. Una plataforma de SOC como Cortex XSIAM puede realizar estas funciones dentro de una sola solución.
• Alertas de actividad anómala: Configure alertas específicas para eventos de borrado masivo (mass wipe). Si se marca más de un umbral específico de dispositivos (por ejemplo, cinco o 10) para un borrado en un intervalo corto, el sistema debe activar un bloqueo automatizado inmediato de la cuenta del administrador que lo inició. Monitoree los registros de inicio de sesión de Entra para permitir detecciones y alertas si un administrador inicia sesión desde una ubicación diferente (como iniciar sesión desde un nuevo país) o fuera de las redes aprobadas.
• Copias de seguridad fuera de línea: Mantenga copias de seguridad inmutables, aisladas físicamente (air-gapped) y fuera de línea de los datos críticos. Dado que el objetivo del actor de amenazas suele ser la interrupción pura (actividad de wiper) en lugar de la extorsión financiera, la capacidad de restaurar desde una fuente inmutable puede ser la única garantía de recuperación.
• Capacitación de usuarios finales y ejercicios de mesa (Tabletop): Realice ejercicios de phishing frecuentes, lleve a cabo capacitaciones de ciberseguridad para el personal y realice ejercicios de simulación enfocados en actividades de actores de amenazas destructivas.

Si cree que puede haber sido comprometido o tiene un asunto urgente, póngase en contacto con el equipo de Respuesta a Incidentes de Unit 42 o llame a:

• Norteamérica (Toll Free): +1 (866) 486-4842 (866.4.UNIT42)
• Reino Unido: +44.20.3743.3660
• Europa y Medio Oriente: +31.20.299.3130
• Asia: +65.6983.8730