Violación de Uber 2022: Detecta el Ciberataque Destructivo que Causa la Toma Completa del Sistema de la Organización
Tabla de contenidos:
El 15 de septiembre, Uber confirmó oficialmente un ataque que resultó en una violación de ciberseguridad en toda la organización. Según la investigación de seguridad, el sistema de la organización fue gravemente pirateado, con atacantes moviéndose lateralmente para obtener acceso a la infraestructura crítica de la compañía. El incidente de ciberseguridad salió a la luz después de que un joven hacker, que afirmó haber violado los sistemas de Uber, compartió informes de vulnerabilidades y capturas de pantalla de los activos críticos de la organización, incluidos un panel de correo electrónico y el servidor de Slack. Esta información sensible se divulgó públicamente en la plataforma de recompensas por errores HackerOne.
Los informes de vulnerabilidad de HackerOne confirman que el adversario violó la red interna del sistema, afectando la consola de Amazon Web Services, las máquinas virtuales VMware vSphere/ESXi y el panel de administración de Google Workspace.
Detectar actividad maliciosa relacionada con la violación de Uber 2022
Reglas Sigma desarrolladas por desarrolladores de SOC Prime ayudan a los profesionales de seguridad a asegurar que su sistema pueda resistir ataques que involucren fallos relacionados con MFA.
Posible inundación/spamming/phishing de MFA/2FA de Okta (vía user_auth)
Posible inundación/spamming/phishing de MFA/2FA de Azure (vía azuread)
Los componentes de detección mencionados anteriormente están alineados con el marco MITRE ATT&CK®. Los profesionales de seguridad pueden cambiar fácilmente entre múltiples formatos de SIEM, EDR y XDR para obtener el código fuente de la regla aplicable a 26 soluciones de seguridad.
La plataforma Detection as Code de SOC Prime recopila un conjunto de reglas Sigma para identificar el comportamiento malicioso relacionado con esta última violación de Uber. Haga clic en el Explorar detecciones botón a continuación para acceder instantáneamente a las detecciones dedicadas y profundizar en el contexto de amenazas cibernéticas relevante sin registrarse directamente desde el Motor de Búsqueda de Amenazas Cibernéticas.
Análisis de la violación de Uber 2022
Basado en informes de noticias sobre la violación de los sistemas de Uber, el atacante manipuló a uno de los empleados de la compañía para que compartiera su contraseña, lo que permitió el acceso inicial al objetivo. El hacker criminal luego procedió a lanzar ataques de fatiga MFA y comprometer la cuenta de Slack de un trabajador para enviar un mensaje anunciando a otros empleados que su empresa había sufrido una violación de datos. En respuesta, Uber ha restringido el acceso a Slack para comunicación interna. Entre otros servicios comprometidos están Google Cloud Platform, OneLogin, el portal de respuesta a incidentes SentinelOne y AWS.
Varios investigadores de seguridad ya han afirmado que la violación fue un “compromiso total de seguridad” que también podría resultar en que el atacante publique el código fuente de la compañía en línea a pesar de que los representantes del gigante tecnológico están tratando de “apagar el fuego” que comenzó en los canales de los medios. La postura de la empresa de transporte con sede en San Francisco sobre el asunto es diferente de la narrativa expresada por analistas de seguridad no afiliados a Uber, afirmando principalmente que no hay evidencia que sugiera que el actor de la amenaza accedió a datos sensibles.
Antes del incidente, los registros recopilados de infostealers se pusieron a la venta en el mercado clandestino. Los infostealers que se utilizaron en estos ataques contra empleados de Uber fueron Raccoon and Vidar. La evidencia sugiere que el atacante utilizó los datos adquiridos para moverse lateralmente dentro de la red de Uber.
Los motivos del actor de la amenaza aún no han sido revelados, pero su mensaje compartido en un canal de Slack de Uber incluye una demanda de un mejor pago para los conductores. Los representantes de Uber no han publicado más actualizaciones públicamente, afirmando que el incidente está actualmente bajo investigación.
Las técnicas de ingeniería social están en aumento. Este ataque solo refleja la tendencia reciente hacia que los hackers criminales acumulen enfoques más sofisticados para aprovechar el factor humano en sus ataques. ¡Tiempos drásticos requieren medidas drásticas! Únase a SOC Prime para mejorar sus capacidades de detección de amenazas y su postura de seguridad con el poder de una comunidad global de expertos en ciberseguridad. También puede enriquecer la experiencia colaborativa contribuyendo a la iniciativa de crowdsourcing de SOC Prime. Desarrolle y envíe sus reglas Sigma y YARA, publíquelas en una plataforma y reciba recompensas recurrentes por su aporte.
