{"id":35853,"date":"2024-03-05T11:59:54","date_gmt":"2024-03-05T10:59:54","guid":{"rendered":"https:\/\/quike.it\/es\/?p=35853"},"modified":"2024-03-05T11:59:55","modified_gmt":"2024-03-05T10:59:55","slug":"hackers-utilizan-phishing-para-robar-cadenas-ntlm-en-windows","status":"publish","type":"post","link":"https:\/\/quike.it\/es\/hackers-utilizan-phishing-para-robar-cadenas-ntlm-en-windows\/","title":{"rendered":"Hackers utilizan Phishing para Robar Cadenas NTLM en Windows"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

El grupo de pirater\u00eda inform\u00e1tica TA577<\/strong> ha modificado sus t\u00e1cticas recientemente, adoptando el uso de correos electr\u00f3nicos de phishing<\/strong><\/a> para apropiarse de las cadenas de autenticaci\u00f3n<\/em><\/strong> NT LAN Manager<\/strong> (NTLM<\/strong><\/em><\/a>) y llevar a cabo secuestros de cuentas.<\/p>

TA577,<\/strong> previamente asociado con Qbot<\/strong> y vinculado a infecciones de ransomware<\/strong><\/a> Black Basta<\/strong>, es considerado un corredor de acceso inicial (IAB).<\/strong><\/p>

La firma de seguridad de correo electr\u00f3nico Proofpoint<\/strong> se\u00f1ala que, aunque TA577<\/strong> ha mostrado preferencia por Pikabot<\/strong> en sus recientes operaciones, dos oleadas recientes de ataques revelan una t\u00e1ctica diferente.<\/p>

Estas campa\u00f1as distintas de TA577,<\/strong> lanzadas el 26<\/strong> y 27 de febrero de 2024,<\/strong> enviaron miles de mensajes a cientos de organizaciones en todo el mundo, focaliz\u00e1ndose en las cadenas NTLM<\/strong> de los empleados.<\/p>

Las cadenas NTLM<\/strong> se emplean en Windows<\/strong> para autenticaci\u00f3n y seguridad de sesi\u00f3n, pudiendo ser capturadas<\/em><\/strong> para llevar a cabo ataques de craqueo de contrase\u00f1as<\/strong> sin conexi\u00f3n, revelando la contrase\u00f1a en texto plano<\/strong>.<\/p>

Adem\u00e1s, estas cadenas pueden utilizarse en ataques \u00abpass-the-hash\u00bb,<\/strong> donde los atacantes emplean la cadena tal como est\u00e1 para autenticarse en un servidor o servicio remoto, sin necesidad de craqueo.<\/strong><\/p>

Bajo ciertas circunstancias y dependiendo de las medidas de seguridad implementadas, las cadenas robadas<\/strong> pueden permitir a los atacantes escalar privilegios, secuestrar cuentas, acceder a informaci\u00f3n confidencial, evadir productos de seguridad y moverse lateralmente dentro de una red comprometida.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t