AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**Cibercriminales de UNC6783 se infiltran en proveedores BPO para atacar a grandes empresas**

admin

### 1. Introducción

En un contexto donde la externalización de procesos clave es cada vez más habitual, los proveedores de servicios de outsourcing empresarial (BPO) se han convertido en un eslabón crítico en la cadena de ciberseguridad de muchas organizaciones. Recientemente, se ha identificado una campaña avanzada liderada por el grupo de amenazas UNC6783, que utiliza a los BPO como puerta de entrada para comprometer a grandes compañías de sectores estratégicos. El alcance, sofisticación y persistencia de estos ataques están levantando serias preocupaciones entre responsables de seguridad, analistas SOC y consultores especializados.

### 2. Contexto del Incidente

UNC6783 es un actor de amenazas persistente avanzado (APT) que ha focalizado sus esfuerzos en infiltrarse en empresas BPO con el objetivo de pivotar hacia clientes de alto valor en sectores como finanzas, telecomunicaciones, sanidad, energía y logística. Los cibercriminales aprovechan la naturaleza transversal de los BPO, cuya infraestructura y acceso privilegiado les permite interactuar con diversos sistemas y datos sensibles de múltiples clientes.

El modus operandi observado en los últimos meses implica el compromiso inicial de infraestructuras BPO mediante campañas de spear phishing dirigidas, explotación de vulnerabilidades conocidas y abuso de credenciales privilegiadas. Una vez dentro, el grupo utiliza técnicas de movimiento lateral y escalada de privilegios para acceder a los entornos de sus clientes, donde despliegan herramientas de post-explotación y exfiltración de datos.

### 3. Detalles Técnicos: CVEs, Vectores y TTP

**Vectores de ataque y vulnerabilidades explotadas**
UNC6783 ha explotado activamente vulnerabilidades conocidas en sistemas ampliamente desplegados en sectores BPO, destacando especialmente:

– **CVE-2023-34362 (MOVEit Transfer):** Utilizado para ejecutar código remoto y extraer información sensible.
– **CVE-2024-21412 (Microsoft Exchange):** Aprovechada para la ejecución de comandos arbitrarios y escalada de privilegios.
– **CVE-2023-24489 (Citrix Gateway):** Vector de entrada para comprometer portales VPN y acceder a redes internas.

**Tácticas, técnicas y procedimientos (TTP)**
Según la matriz MITRE ATT&CK, las fases identificadas en los ataques de UNC6783 incluyen:

– **Initial Access (TA0001):** Spear phishing con payloads personalizados y explotación de aplicaciones expuestas.
– **Privilege Escalation (TA0004):** Uso de herramientas como Mimikatz y la explotación de servicios Windows.
– **Lateral Movement (TA0008):** Empleo de RDP, PsExec y credenciales robadas.
– **Command and Control (TA0011):** Infraestructura C2 basada en Cobalt Strike y canales HTTPS cifrados.
– **Exfiltration (TA0010):** Compresión y transferencia de datos sensibles mediante protocolos TLS y SFTP.

**Indicadores de compromiso (IoC)**
Se han detectado dominios maliciosos, direcciones IP vinculadas a infraestructuras de C2, y hashes de ejecutables asociados a variantes de Cobalt Strike y Metasploit. Las campañas recientes muestran un marcado interés en obtener credenciales de acceso a plataformas de gestión de clientes y sistemas ERP.

### 4. Impacto y Riesgos

El impacto de estos ataques es significativo y multifacético. Se estima que al menos un 12% de los principales proveedores BPO a nivel global han sufrido incidentes relacionados con UNC6783 desde mediados de 2023, afectando potencialmente a cientos de grandes empresas clientes. Las consecuencias abarcan desde el robo y exposición de datos confidenciales (PII, información financiera, propiedad intelectual), hasta la interrupción de servicios críticos y el riesgo de ataques de ransomware posteriores.

En términos económicos, los costes asociados a la respuesta a incidentes, multas por incumplimiento de GDPR y NIS2, y la posible pérdida de contratos estratégicos pueden superar los 10 millones de euros por incidente para las empresas afectadas.

### 5. Medidas de Mitigación y Recomendaciones

– **Parches y actualizaciones:** Priorizar la aplicación inmediata de parches de seguridad en sistemas expuestos, especialmente aquellos con CVEs conocidos y explotados activamente.
– **Segmentación de red:** Limitar el movimiento lateral mediante una segmentación estricta y la aplicación de principios de mínimo privilegio.
– **Gestión de identidades:** Implementar autenticación multifactor (MFA) y monitorizar el uso de credenciales privilegiadas.
– **Monitorización y respuesta:** Desplegar soluciones EDR/SIEM avanzadas para detectar patrones anómalos, correlacionar IoCs conocidos y automatizar respuestas ante actividades sospechosas.
– **Formación y concienciación:** Capacitar de forma continua al personal, especialmente a los equipos BPO y de soporte, para identificar intentos de phishing y otras técnicas de ingeniería social.

### 6. Opinión de Expertos

Analistas de amenazas y responsables de seguridad consultados subrayan la importancia de considerar a los proveedores BPO como parte integral de la superficie de ataque de cualquier organización. Según Rubén Sanz, CISO de una multinacional tecnológica, “la confianza ciega en proveedores externos puede ser un riesgo sistémico; la gestión de terceros debe incluir auditorías periódicas de ciberseguridad y la exigencia de controles equivalentes a los propios”.

Por su parte, desde el ámbito de la respuesta a incidentes, expertos de firmas como Mandiant y KPMG han alertado sobre la creciente sofisticación de UNC6783, que combina técnicas APT con herramientas comerciales y una notable capacidad de evasión.

### 7. Implicaciones para Empresas y Usuarios

El fenómeno pone de manifiesto la necesidad de robustecer los acuerdos de nivel de servicio (SLA) en materia de ciberseguridad, así como la revisión de cláusulas contractuales relacionadas con la gestión de incidentes y notificación de brechas, en línea con los requisitos de GDPR y la Directiva NIS2. Las empresas deben considerar la ciberseguridad de sus proveedores como una extensión de su propio perímetro y actuar en consecuencia.

Para los usuarios finales, existe el riesgo de que datos personales y financieros gestionados por los BPO sean filtrados o utilizados en campañas de fraude, lo que obliga a extremar la vigilancia y reclamar transparencia a las organizaciones implicadas.

### 8. Conclusiones

La campaña de UNC6783 evidencia la evolución de los actores de amenazas en la explotación de la cadena de suministro digital. Los BPO, por su posición estratégica, se han convertido en objetivos prioritarios y en vectores de ataque de alto impacto. La colaboración entre clientes y proveedores, la inversión en controles técnicos avanzados y una cultura de ciberresiliencia compartida serán claves para frenar este tipo de amenazas en 2024 y más allá.

(Fuente: www.bleepingcomputer.com)