Microsoft ha descubierto una serie de actividades de piratería preocupantes, dirigidas a organizaciones ubicadas principalmente en Taiwán. Se sospecha que esta campaña, atribuida a Flax Typhoon, está orquestada por un agente estatal con sede en China.
La operación incluye técnicas sofisticadas que podrían reproducirse en otras regiones, lo que hace temer implicaciones globales. Microsoft ha decidido hacer pública esta amenaza debido a los importantes riesgos de seguridad que plantea, y a la necesidad de una vigilancia colectiva dentro de la comunidad de seguridad.
Una campaña agresiva con Taiwán
La campaña Flax Typhoon lleva en funcionamiento desde mediados de 2021, y sus objetivos principales abarcan organismos gubernamentales, instituciones educativas, fábricas críticas y organizaciones de tecnología de la información de Taiwán. Aunque el impacto se ha concentrado en Taiwán, también se han identificado algunas víctimas en el Sudeste Asiático, Norteamérica y África.
Las tácticas de Flax Typhoon se centran en la persistencia, el movimiento lateral y la adquisición de acceso a credenciales. De acuerdo con las prácticas establecidas, Microsoft ha notificado directamente a las partes afectadas para ayudar a reforzar sus medidas de seguridad.
Medidas preventivas
Para responder eficazmente a las sospechas de compromiso, se aconseja a las organizaciones que tomen las siguientes medidas:
- Identificar las cuentas o sistemas comprometidos
- Localizar los casos de vertido de LSASS y SAM para detectar las cuentas afectadas.
- Examinar las cuentas comprometidas en busca de actividades maliciosas o datos expuestos.
- Invalide o modifique las credenciales de todas las cuentas comprometidas, teniendo en cuenta el alcance potencial del compromiso.
- Aísle y examine meticulosamente los sistemas afectados en busca de rastros de acciones maliciosas.
- Mantenga actualizados los parches de seguridad de los servidores de cara al público, que son objetivos atractivos para los ciberdelincuentes.
- Emplee métodos como la validación de entradas de usuario, la supervisión de la integridad de los archivos, la supervisión del comportamiento y los cortafuegos de aplicaciones web para mejorar la seguridad de los servidores.
- Supervise el registro de Windows en busca de modificaciones no autorizadas, aprovechando la función Audit Registry.
- Utilice sistemas de supervisión de red y detección de intrusos para detectar tráfico de red inusual o no autorizado.
- Asegúrese de que los sistemas Windows están actualizados con los últimos parches de seguridad, incluido MS16-075.
Cómo mitigar riesgos
Microsoft también recomienda varias estrategias para mitigar el riesgo de cuentas y sistemas comprometidos:
Aplicar una autenticación sólida
- Implemente políticas sólidas de autenticación multifactor (MFA) que impliquen claves de seguridad de hardware o Microsoft Authenticator.
- Aproveche los métodos de inicio de sesión sin contraseña, como Windows Hello y las claves de seguridad FIDO2, para reducir la vulnerabilidad.
- Establezca reglas de caducidad de contraseñas y desactive las cuentas no utilizadas para reducir el riesgo.
- Aleatorice las contraseñas de administrador local utilizando herramientas como Local Administrator Password Solution (LAPS).
- Emplee reglas de reducción de la superficie de ataque para bloquear o auditar los patrones de actividad maliciosa identificados.
- Refuerce la seguridad de los procesos de LSASS con funciones como Protective Process Light (PPL) y Windows Defender Credential Guard.
- Implemente protección en la nube en Microsoft Defender Antivirus para una cobertura dinámica de las amenazas.
- Implemente Endpoint Detection and Response (EDR)
- Utilice EDR en modo de bloqueo para permitir que Microsoft Defender for Endpoint neutralice las amenazas incluso cuando otros sistemas antivirus estén pasivos.
La exposición de las operaciones de Flax Typhoon subraya la importancia de unas prácticas de seguridad sólidas, y de la colaboración en todo el panorama de la seguridad.
El enfoque proactivo de Microsoft tiene como objetivo capacitar a las organizaciones y a la comunidad de seguridad en general para reforzar las defensas contra amenazas en evolución como Flax Typhoon.