Hola a todos!
Nos hacemos eco de un artículo de PCMagazine del pasado 26 de junio.
Microsoft dice que los piratas informáticos de Nobelium que se dirigieron a SolarWinds, USAID y otras organizaciones accedieron a la información almacenada en uno de los dispositivos de sus empleados.
El Centro de Inteligencia de Amenazas de Microsoft dijo que ha estado rastreando la actividad reciente de Nobelium, un grupo de piratería con sede en Rusia mejor conocido por el ataque cibernético SolarWinds de diciembre de 2020, y que el grupo logró usar la información obtenida del dispositivo de un trabajador de Microsoft en los ataques.
Microsoft dijo que «detectó malware que roba información en una máquina que pertenece a uno de nuestros agentes de atención al cliente con acceso a la información básica de la cuenta de un pequeño número de nuestros clientes» y que «el actor usó esta información en algunos casos para lanzar ataques altamente dirigidos». como parte de su campaña más amplia”. Los clientes afectados fueron notificados del incumplimiento.
Nobelium siguió al ataque cibernético de SolarWinds en mayo con una campaña contra la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID). Según se informa, el grupo usó una de las herramientas de marketing por correo electrónico de USAID para enviar mensajes de phishing a más de 150 organizaciones. Esos mensajes contenían un enlace utilizado para distribuir malware que podría robar datos, infectar otros dispositivos y más.
Microsoft dijo que los objetivos recientes de Nobelium eran «principalmente empresas de TI (57%), seguidas por el gobierno (20%) y porcentajes más pequeños para organizaciones no gubernamentales y grupos de expertos, así como servicios financieros». La compañía dijo que el 45% de esos objetivos tenían su sede en los EE. UU., el 10% en el Reino Unido y el resto se distribuyó en 36 países diferentes.
Sin embargo, pocos de esos ataques dieron frutos, y Microsoft dijo que Nobelium solo pudo comprometer con éxito tres de sus objetivos. (No reveló públicamente esos objetivos, pero sí dijo que estaban «siendo contactados a través de nuestro proceso de notificación de estado-nación»). Es posible que los ataques exitosos pasaran desapercibidos, pero por ahora parece que los esfuerzos de Nobelium han sido ineficaces.
Obtener acceso al dispositivo del agente de soporte al cliente de Microsoft podría haber cambiado eso, pero la compañía dijo que sus «agentes de soporte están configurados con el conjunto mínimo de permisos requeridos como parte de nuestro enfoque de ‘acceso menos privilegiado’ Zero Trust a la información del cliente». Ese enfoque ayuda a mantener a los clientes de Microsoft a salvo de empleados deshonestos y malware por igual.