{"id":470,"date":"2026-04-06T20:21:03","date_gmt":"2026-04-06T20:21:03","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/06\/la-campana-de-pulverizacion-de-contrasenas-vinculada-a-iran-esta-dirigida-a-mas-de-300-organizaciones-israelies-de-microsoft-365\/"},"modified":"2026-04-06T20:21:03","modified_gmt":"2026-04-06T20:21:03","slug":"la-campana-de-pulverizacion-de-contrasenas-vinculada-a-iran-esta-dirigida-a-mas-de-300-organizaciones-israelies-de-microsoft-365","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/06\/la-campana-de-pulverizacion-de-contrasenas-vinculada-a-iran-esta-dirigida-a-mas-de-300-organizaciones-israelies-de-microsoft-365\/","title":{"rendered":"La campa\u00f1a de pulverizaci\u00f3n de contrase\u00f1as vinculada a Ir\u00e1n est\u00e1 dirigida a m\u00e1s de 300 organizaciones israel\u00edes de Microsoft 365"},"content":{"rendered":"
\n

Se sospecha que un actor de amenazas del nexo con Ir\u00e1n est\u00e1 detr\u00e1s de una campa\u00f1a de pulverizaci\u00f3n de contrase\u00f1as dirigida a entornos de Microsoft 365 en Israel y los Emiratos \u00c1rabes Unidos en medio del conflicto en curso en el Medio Oriente.<\/p>\n

La actividad, considerada en curso, se llev\u00f3 a cabo en tres oleadas de ataques distintas que tuvieron lugar el 3 de marzo, el 13 de marzo y el 23 de marzo de 2026, seg\u00fan Check Point.<\/p>\n

\u00abLa campa\u00f1a se centra principalmente en Israel y los Emiratos \u00c1rabes Unidos, impactando a m\u00e1s de 300 organizaciones en Israel y m\u00e1s de 25 en los Emiratos \u00c1rabes Unidos\u00bb, dijo la empresa israel\u00ed de ciberseguridad. dicho<\/a>. \u00abTambi\u00e9n se observ\u00f3 actividad asociada con el mismo actor contra un n\u00famero limitado de objetivos en Europa, Estados Unidos, Reino Unido y Arabia Saudita\u00bb.<\/p>\n

Se considera que la campa\u00f1a se ha dirigido a entornos de nube de entidades gubernamentales, municipios, organizaciones de tecnolog\u00eda, transporte, sector energ\u00e9tico y empresas del sector privado de la regi\u00f3n.<\/p>\n

La pulverizaci\u00f3n de contrase\u00f1as es una forma de ataque de fuerza bruta en la que un actor de amenazas intenta utilizar una \u00fanica contrase\u00f1a com\u00fan contra varios nombres de usuario en la misma aplicaci\u00f3n. Tambi\u00e9n se considera una forma m\u00e1s eficaz de descubrir credenciales d\u00e9biles a escala sin activar defensas que limiten la velocidad.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Check Point dijo que se sabe que la t\u00e9cnica fue adoptada por grupos de hackers iran\u00edes como Peach Sandstorm y Gray Sandstorm (anteriormente DEV-0343) en el pasado para infiltrarse en las redes objetivo.<\/p>\n

B\u00e1sicamente, la campa\u00f1a se desarrolla en tres fases: escaneo agresivo o pulverizaci\u00f3n de contrase\u00f1as realizado desde los nodos de salida de Tor, seguido de la realizaci\u00f3n del proceso de inicio de sesi\u00f3n y la filtraci\u00f3n de datos confidenciales, como el contenido del buz\u00f3n. <\/p>\n

\u00abEl an\u00e1lisis de los registros de M365 sugiere similitudes con Gray Sandstorm, incluido el uso de herramientas del equipo rojo para realizar estos ataques a trav\u00e9s de nodos de salida Tor\u00bb, dijo Check Point. \u00abEl actor de amenazas utiliz\u00f3 nodos VPN comerciales alojados en AS35758 (Rachamim Aviel Twito), lo que se alinea con la actividad reciente vinculada a las operaciones del nexo con Ir\u00e1n en el Medio Oriente\u00bb.<\/p>\n

\"\"<\/a><\/div>\n

Para contrarrestar la amenaza, se recomienda a las organizaciones que supervisen los registros de inicio de sesi\u00f3n en busca de signos de pulverizaci\u00f3n de contrase\u00f1as, apliquen controles de acceso condicional para limitar la autenticaci\u00f3n a ubicaciones geogr\u00e1ficas aprobadas, apliquen la autenticaci\u00f3n multifactor (MFA) para todos los usuarios y habiliten registros de auditor\u00eda para la investigaci\u00f3n posterior al compromiso.<\/p>\n

Ir\u00e1n revive las operaciones clave de Pay2<\/h3>\n

La divulgaci\u00f3n se produce cuando una organizaci\u00f3n de atenci\u00f3n m\u00e9dica estadounidense fue atacada a fines de febrero de 2026 por Pay2Key, una banda de ransomware iran\u00ed con v\u00ednculos con el gobierno del pa\u00eds. La operaci\u00f3n de ransomware como servicio (RaaS), que tiene v\u00ednculos con el grupo Fox Kitten, surgi\u00f3 por primera vez en 2020.<\/a><\/p>\n

La variante implementada en el ataque es una actualizaci\u00f3n de campa\u00f1as anteriores observadas en julio de 2025, que utiliza t\u00e9cnicas mejoradas de evasi\u00f3n, ejecuci\u00f3n y antiforenses para lograr sus objetivos. Seg\u00fan Beazley Security y Halcyon, no se exfiltr\u00f3 ning\u00fan dato durante el ataque, un cambio con respecto al manual de doble extorsi\u00f3n del grupo. <\/p>\n

Se dice que el ataque aprovech\u00f3 una ruta de acceso indeterminada para violar la organizaci\u00f3n, utilizando una herramienta leg\u00edtima de acceso remoto como TeamViewer para establecer un punto de apoyo, luego recolectar credenciales para el movimiento lateral, desarmar Microsoft Defender Antivirus al se\u00f1alar falsamente que un producto antivirus de terceros est\u00e1 activo, inhibir la recuperaci\u00f3n, implementar ransomware, enviar una nota de rescate y borrar registros para cubrir las pistas.<\/p>\n

\u00abAl borrar los registros al final de la ejecuci\u00f3n en lugar de al principio, los actores garantizan que incluso se borre la propia actividad del ransomware, no solo lo que la precedi\u00f3\u00bb, Halcyon dicho<\/a>.<\/p>\n

Entre los cambios clave que el grupo promulg\u00f3 tras su regreso el a\u00f1o pasado estuvo ofrecer a sus afiliados un recorte del 80% de las ganancias del rescate, frente al 70%, por participar en ataques contra los enemigos de Ir\u00e1n. Un mes despu\u00e9s, se detect\u00f3 en libertad una variante para Linux del ransomware Pay2Key.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abLa muestra se basa en la configuraci\u00f3n, requiere privilegios de nivel ra\u00edz para su ejecuci\u00f3n y est\u00e1 dise\u00f1ada para atravesar un amplio alcance del sistema de archivos, clasificar montajes y cifrar datos usando ChaCha20 en modo total o parcial\u00bb, Ilia Kulmin, investigadora de Morphisec dicho<\/a> en un informe publicado el mes pasado.<\/p>\n

\u00abAntes del cifrado, debilita las defensas y elimina la fricci\u00f3n al detener servicios, eliminar procesos, deshabilitar SELinux y AppArmor e instalar una entrada cron en el momento del reinicio. Esto permite que el cifrador se ejecute m\u00e1s r\u00e1pido y sobreviva a los reinicios\u00bb.<\/p>\n

En marzo de 2026, Halcyon tambi\u00e9n revel\u00f3<\/a> que el administrador del ransomware Sicarii, Uke, inst\u00f3 a los operadores proiran\u00edes a utilizar Baqiyat 313 Locker (tambi\u00e9n conocido como BQTlock) debido a la afluencia de solicitudes de afiliados. BQTLock, que opera con motivos propalestinos, ha apuntado a los Emiratos \u00c1rabes Unidos, Estados Unidos e Israel desde julio de 2025.<\/p>\n

\u00abIr\u00e1n tiene un largo historial de uso de operaciones cibern\u00e9ticas para tomar represalias contra desaires pol\u00edticos percibidos\u00bb, dijo la empresa de ciberseguridad. dicho<\/a>. \u00abEl ransomware se incorpora cada vez m\u00e1s a estas operaciones, con campa\u00f1as de ransomware que desdibujan la l\u00ednea entre la extorsi\u00f3n criminal y el sabotaje patrocinado por el Estado\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Se sospecha que un actor de amenazas del nexo con Ir\u00e1n est\u00e1 detr\u00e1s de una campa\u00f1a de pulverizaci\u00f3n de contrase\u00f1as dirigida a entornos de Microsoft 365 en Israel y los Emiratos \u00c1rabes Unidos en medio del conflicto en curso en el Medio Oriente. La actividad, considerada en curso, se llev\u00f3 a cabo en tres oleadas […]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[133,225,462,183,542,1597,98,50,389,1596,488],"class_list":["post-470","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-campana","tag-contrasenas","tag-dirigida","tag-esta","tag-iran","tag-israelies","tag-mas","tag-microsoft","tag-organizaciones","tag-pulverizacion","tag-vinculada"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/470","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=470"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/470\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=470"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=470"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=470"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}