Los grupos de hacking vinculados a Irán han aumentado sus actividades cibernéticas tras los recientes ataques con misiles de Estados Unidos e Israel. Están realizando escaneos digitales, operaciones de espionaje y ataques de denegación de servicio distribuido (DDoS) en toda la región de Medio Oriente.

Los investigadores indican que la mayoría de las actividades confirmadas hasta ahora han tenido como objetivo a Israel y a los países del Golfo Pérsico, pero que las organizaciones estadounidenses también deben estar preparadas para posibles ataques.

Irán examina aplicaciones móviles y API antes de los ataques

Según la firma de seguridad de aplicaciones móviles Approov, los hackers iraníes comenzaron a llevar a cabo ataques de exploración más avanzados a principios de febrero. Estos ataques se centraron en las API y aplicaciones móviles utilizadas en las comunicaciones gubernamentales de la región.

Se observa que estas actividades se detuvieron el 27 de febrero. Los expertos creen que esta pausa podría estar relacionada con la interrupción de internet que ocurrió en Irán al inicio del conflicto.

JP Castellanos, director de inteligencia de amenazas en Binary Defense, indicó que los grupos iraníes han implantado malware en los sistemas antes de que comience una operación militar abierta. Esta es una táctica común en la que los atacantes posicionan silenciosamente herramientas para lanzar ataques más destructivos más tarde.

Los hackers iraníes han lanzado DDoS, ransomware y campañas de desinformación

Los investigadores de Check Point han observado violaciones asociadas con un grupo llamado Cotton Sandstorm (también conocido como Haywire Kitten). Se cree que este grupo está vinculado a los Cuerpos de la Guardia Revolucionaria Islámica de Irán (IRGC).

Según el informe, este grupo utilizó una herramienta de robo de información llamada WezRat en correos electrónicos de phishing que parecían actualizaciones de software urgentes. En algunos casos, después de estas campañas, se llevaron a cabo ataques de ransomware dirigidos a objetivos en Israel.

Los analistas también notaron que identidades en línea anteriores han vuelto a aparecer, afirmando que hackearon sistemas de control industrial en Israel, Jordania, Turquía, Polonia y países del Golfo. Los expertos dicen que muchas de estas afirmaciones públicas son exageradas o parte de esfuerzos más amplios de desinformación.

“Irán, históricamente, ha intentado aumentar el impacto psicológico al mezclar violaciones reales con afirmaciones exageradas o inventadas”, dice un analista.

Las organizaciones estadounidenses podrían ser el próximo objetivo

Hasta ahora, no ha habido un ataque confirmado públicamente contra organizaciones estadounidenses durante esta última ola de actividades. Sin embargo, los investigadores creen que tales ataques son posibles.

Los sectores con mayor riesgo son:

  • Contratistas de defensa y proveedores gubernamentales
  • Organizaciones que hacen negocios con Israel o comparten infraestructura
  • Proveedores de infraestructura crítica como servicios de energía o agua
  • Empresas que utilizan tecnología industrial fabricada en Israel

En el pasado, los hackers iraníes han atacado sistemas de agua y otras tecnologías operativas en Estados Unidos. A menudo utilizaron contraseñas predeterminadas y malware específico. Aunque estos ataques anteriores causaron daños físicos limitados, demostraron que los atacantes podían acceder a sistemas sensibles.

Una campaña cibernética iraní de larga data

Los expertos indican que la situación actual parece ser una campaña cibernética a largo plazo que combina espionaje, interrupciones, ataques de ransomware y guerra de información.

Esperan un aumento de la desinformación en las redes sociales a través de bots. Las personas deberían esperar ver afirmaciones más dramáticas sobre sabotaje y daño a la infraestructura; muchas de estas probablemente no serán ciertas.

Las firmas de seguridad recomiendan a las organizaciones que hagan lo siguiente:

  • Actualicen rápidamente los sistemas críticos
  • Revisen el acceso de los usuarios y eliminen cuentas no utilizadas o predeterminadas
  • Monitoreen de cerca los riesgos de terceros y de la cadena de suministro
  • Fortalezcan la capacitación en concientización sobre phishing para los empleados

Los investigadores en general aceptan que las operaciones cibernéticas continuarán junto con el conflicto físico. Advierten que las organizaciones en Estados Unidos, Israel y los países del Golfo deben evaluar el riesgo de manera urgente, no teórica, sino real.