En los últimos días en el CERT-PY hemos investigado varios incidente cibernéticos, donde se han observado ciertas técnicas y tácticas específicas, con una gran similitud entre sí.
Entre las vulnerabilidades explotadas activamente por actores maliciosos, se destacan la explotación de vulnerabilidades conocidas de servicios específicos como base de datos Redis y Servidores de aplicación para Java (Wildfly, Tomcat), también se han investigado varios casos sobre incidentes cibernéticos que incluyen a servidores de correo electrónico Zimbra.
Se observó que posteriormente a que un actor malicioso ha logrado el primer acceso iniciar a través de la explotación de los servicios citados, éste intenta realizar tareas de escalamiento de privilegios. En muchos casos se observó la utilización de los sistemas comprometidos como punto de pivot para realizar técnicas de movimiento lateral dentro de la organización, así como también debilidades en configuración de sistemas internos no expuestos a Internet.
Hemos elaborado un informe con detalles específicos sobre las técnicas, tácticas y procedimientos realizados por distintos actores maliciosos, que han comprometido sistemas de las organizaciones paraguayas.