AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Hacker rumano condenado en EE.UU. por vender acceso a red gubernamental de Oregón**

admin

### Introducción

Las amenazas internas y externas a la seguridad de las infraestructuras gubernamentales siguen evolucionando, destacando la creciente profesionalización del cibercrimen transnacional. Un reciente caso judicial en Estados Unidos pone el foco en la venta ilícita de acceso a redes gubernamentales, una práctica cada vez más habitual en mercados clandestinos y foros de la dark web. En este contexto, la condena a prisión de un ciberdelincuente rumano por la venta de credenciales de acceso a una oficina estatal de Oregón subraya la urgencia de robustecer la seguridad y vigilancia en los entornos IT de las administraciones públicas.

### Contexto del Incidente

Catalin Dragomir, ciudadano rumano de 34 años, fue arrestado y posteriormente extraditado a Estados Unidos tras ser identificado como el responsable de comprometer y comercializar el acceso remoto a la red de una oficina estatal en Oregón. Este incidente se enmarca dentro de la tendencia al alza de ataques de Initial Access Brokers (IAB), actores especializados en obtener, explotar y vender accesos a infraestructuras críticas para su posterior uso en campañas de ransomware, espionaje o robo de información.

La investigación, coordinada entre agencias estadounidenses y europeas bajo el paraguas de la colaboración internacional contra el cibercrimen, reveló que Dragomir obtuvo acceso no autorizado y lo ofertó en foros clandestinos frecuentados por otros actores maliciosos, contribuyendo a la creación de cadenas de ataque más complejas y difíciles de rastrear.

### Detalles Técnicos

El acceso vendido por Dragomir correspondía a servicios de escritorio remoto (RDP) expuestos en la red de la oficina estatal de Oregón. Investigaciones forenses determinaron que el atacante explotó credenciales débiles, siguiendo el patrón habitual de ataques de fuerza bruta automatizados mediante herramientas como Hydra o Ncrack, así como posibles vulnerabilidades conocidas en servicios RDP (CVE-2019-0708, también conocida como BlueKeep, aunque no se ha confirmado que haya sido utilizada en este caso concreto).

Una vez obtenido el acceso, Dragomir empleó técnicas de evasión para evitar la detección por soluciones EDR y SIEM, tales como el uso de IPs proxy y la modificación de logs del sistema. Los TTPs observados se alinean con los identificadores de MITRE ATT&CK siguientes:

– **T1078 (Valid Accounts)**: Uso de credenciales legítimas obtenidas de forma ilícita.
– **T1136 (Create Account)**: Creación de cuentas persistentes para acceso futuro.
– **T1110 (Brute Force)**: Ataques de fuerza bruta sobre servicios expuestos.

Los Indicadores de Compromiso (IoC) identificados incluyen direcciones IP asociadas a nodos VPN en Europa del Este, hashes de archivos utilizados para la automatización del ataque y patrones de tráfico inusual en horarios fuera de oficina.

En cuanto a herramientas, aunque no se ha divulgado el uso de frameworks como Metasploit o Cobalt Strike en la fase inicial, es habitual que los compradores de estos accesos recurran a ellos para la post-explotación y movimiento lateral.

### Impacto y Riesgos

La venta de accesos comprometidos representa una puerta de entrada para ataques de ransomware, exfiltración de datos sensibles y sabotaje. Según datos de Coveware y The CyberPeace Institute, más del 60% de los ataques de ransomware en 2023 se originaron a partir de accesos vendidos por IABs. En el caso de Oregón, aunque el acceso se detectó antes de que se produjeran daños mayores, la exposición de información sensible y la posible violación de normativas como la GDPR y la NIS2 europea podrían haber supuesto sanciones económicas relevantes y una pérdida reputacional significativa.

### Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de incidentes similares, los expertos recomiendan:

– **Seguridad en accesos remotos**: Deshabilitar RDP si no es imprescindible o restringirlo mediante VPN y autenticación multifactor (MFA).
– **Gestión de credenciales**: Implementar políticas de contraseñas robustas y monitorizar intentos de acceso fallidos.
– **SIEM y EDR avanzados**: Configurar alertas para detectar patrones de ataque tipo brute force y accesos anómalos.
– **Auditoría y hardening**: Revisión periódica de cuentas privilegiadas y cierre de puertos innecesarios.
– **Formación y concienciación**: Actualizar a los empleados sobre las últimas técnicas de ingeniería social y phishing.

### Opinión de Expertos

Analistas del sector señalan que la profesionalización de los IABs está transformando el ecosistema de amenazas. “Ya no hablamos solo de actores que explotan vulnerabilidades, sino de verdaderos proveedores de acceso para cualquier tipo de ciberataque”, advierte un CISO de una agencia gubernamental europea. Además, la cooperación internacional y la aplicación de normativas como NIS2 serán esenciales para frenar este tipo de delitos.

### Implicaciones para Empresas y Usuarios

Este caso evidencia que ninguna organización, pública o privada, está exenta del riesgo de compromisos internos. Las empresas deben evaluar su exposición a accesos remotos y revisar sus controles de seguridad. Para los usuarios, la necesidad de emplear buenas prácticas en la gestión de contraseñas y la autenticación de múltiples factores es más acuciante que nunca.

### Conclusiones

La condena a prisión de Catalin Dragomir marca un precedente en la lucha contra los IAB y la compraventa de accesos ilícitos a redes críticas. Refuerza la importancia de la colaboración internacional y la adopción de medidas de seguridad proactivas, tanto en el sector público como privado. A medida que los atacantes continúan profesionalizándose, la vigilancia, la formación y la respuesta ágil ante incidentes serán clave para contener el impacto de estas amenazas emergentes.

(Fuente: www.securityweek.com)