Las empresas estadounidenses de TI y el gobierno han sido el objetivo de ataque, del grupo patrocinado por el estado ruso, Nobelium.
El mismo grupo estuvo detrás de los ataques a la cadena de suministro de SolarWinds, esta vez se ha dirigido a las redes corporativas de Microsoft para obtener acceso a organizaciones específicas, principalmente, organizaciones gubernamentales y de TI con sede en EE. UU.
Microsoft anunció oficialmente los ataques después de que Reuters obtuvo un correo electrónico enviado a los clientes que explicaba que el grupo de amenazas Nobelium robó credenciales de agente de servicio al cliente para obtener acceso y lanzar ataques contra los clientes de Microsoft.
«El Centro de Inteligencia de Amenazas de Microsoft está rastreando la nueva actividad del actor de amenazas Nobelium», dijo el gigante del software en una publicación de blog. «Nuestra investigación sobre los métodos y tácticas que se están utilizando continúa, pero hemos visto ataques de fuerza bruta y rociado de contraseñas».
Nobelium, APT29, Cozy Bear, The Dukes: diferentes nombres, mismo grupo patrocinado por el estado
Nobelium es el nombre interno de Microsoft para el grupo que se cree está detrás de los ataques de SolarWinds, y que además, se conoce como APT29, Cozy Bear y The Dukes. Independientemente del apodo, el gobierno de Estados Unidos ha designado al grupo como colaborador del gobierno ruso.
«Todos los clientes que se vieron comprometidos o atacados están siendo contactados a través de nuestro proceso de notificación de estado-nación», dijo Microsoft.
El Equipo de Inteligencia de Amenazas de Microsoft encontró que el 45 por ciento de sus clientes que fueron blanco de los ataques están en los EE. UU.; De ellos, el 57 por ciento son empresas de TI y el 20 por ciento son agencias gubernamentales.
Además de la propagación de contraseñas y los ataques de fuerza bruta, Microsoft dijo que encontraron malware para robar información dirigido a clientes específicos.
«Como parte de nuestra investigación sobre esta actividad en curso, también detectamos malware que roba información en una máquina que pertenece a uno de nuestros agentes de atención al cliente con acceso a la información básica de la cuenta de un pequeño número de nuestros clientes», dijo el anuncio de Microsoft. «El actor usó esta información en algunos casos para lanzar ataques altamente dirigidos como parte de su campaña más amplia».
A medida que Microsoft continúa rastreando esta última infracción, las empresas deben mirar más allá de las protecciones básicas con contraseña, según Chris Clements de Cerberus Sentinel.
Clements agregó que el acceso limitado y el monitoreo continuo también deben ser parte de las protecciones de una organización.
“Las organizaciones también pueden dar un paso más en el refuerzo de las defensas contra los ataques de contraseñas mediante la implementación de acceso condicional y el monitoreo continuo de actividades sospechosas como ataques de relleno de credenciales contra su entorno”, dijo.
Fuente: