Los ciberdelincuentes han estado aprovechando herramientas legítimas para llevar a cabo ataques maliciosos, según han revelado investigadores en ciberseguridad. Un nuevo informe ha puesto en alerta sobre el uso indebido del software de acceso remoto AnyDesk, utilizado por los atacantes para infiltrarse en sistemas informáticos y suplantar al Equipo de Respuesta a Emergencias Informáticas de Ucrania, conocido como CERT-UA.
El uso malicioso de AnyDesk
AnyDesk, un software de acceso remoto ampliamente empleado por empresas y particulares, ha sido manipulado por delincuentes que se hacen pasar por representantes de CERT-UA. De acuerdo con informaciones recientes, estos ciberdelincuentes envían solicitudes de conexión alegando que realizan auditorías de seguridad. Sin embargo, el verdadero objetivo es obtener acceso no autorizado a los sistemas de las víctimas.
CERT-UA ha informado que los atacantes han recurrido al identificador de AnyDesk «1518341498», aunque este podría diferir en diversos incidentes. Apelando a técnicas de ingeniería social, los ciberdelincuentes logran ganarse la confianza de los usuarios, quienes, sin sospechar, permiten la conexión remota, desconociendo que son el blanco de una amenaza.
Riesgos y modus operandi de los atacantes
El éxito del ataque radica en la confianza generada por la aparente legitimidad de la solicitud. En ocasiones, los criminales emplean el logotipo de CERT-UA y otra información visual para convencer a las víctimas. Una vez que obtienen la conexión remota, tienen capacidad para:
- Extraer información sensible.
- Instalar malware o ransomware.
- Tomar control de los sistemas para futuros ataques.
CERT-UA ha enfatizado que, aunque podría utilizar AnyDesk en determinadas situaciones, esto solo ocurre tras un acuerdo previo y mediante canales de comunicación oficiales.
Medidas de prevención y defensa
Dada la creciente explotación de herramientas de acceso remoto, los expertos recomiendan implementar estrategias de defensa proactivas para prevenir ataques potenciales:
- Verificar la autenticidad de las solicitudes de conexión remota, contactando directamente a la organización que supuestamente realiza la auditoría.
- Restringir el uso de AnyDesk y herramientas similares a sesiones activas, deshabilitándolas cuando no se necesiten.
- Aplicar soluciones de detección y respuesta en tiempo real, como las proporcionadas por plataformas de ciberseguridad como SOC Prime, para identificar anomalías en el uso del software.
- Seguir el marco MITRE ATT&CK, que ayuda a mejorar la visibilidad de patrones de comportamiento malicioso relacionados con herramientas de acceso remoto.
Conclusión
El uso indebido de AnyDesk subraya la importancia crucial de la ciberseguridad y la necesidad de formación adecuada para identificar posibles amenazas. Tanto empresas como usuarios deben permanecer vigilantes ante este tipo de ataques y adoptar medidas de protección sólidas para mantener la integridad de sus sistemas. CERT-UA y otras entidades de ciberseguridad continúan sus esfuerzos por detectar y mitigar estas amenazas, instando a la comunidad a reportar cualquier actividad sospechosa relacionada con accesos remotos no solicitados.
