Los piratas informáticos de SolarWinds vuelven a hacerlo, apuntando a 150 organizaciones, advierte Microsoft

El cierre del gobierno se arrastra a la tercera semana sin resolución

Microsoft dijo que Nobelium, un grupo de piratería con sede en Rusia, lanzó la campaña de phishing al obtener acceso a una cuenta de marketing de USAID.

Por Phil Helsel y Ezra Kaplan

El grupo con sede en Rusia detrás del hack de SolarWinds ha lanzado una nueva campaña que parece apuntar a agencias gubernamentales, grupos de expertos y organizaciones no gubernamentales, dijo Microsoft el jueves.

Nobelium lanzó los ataques actuales después de obtener acceso a un servicio de marketing por correo electrónico utilizado por la Agencia de los Estados Unidos para el Desarrollo Internacional, o USAID, según Microsoft.

“Estos ataques parecen ser una continuación de los múltiples esfuerzos de Nobelium para apuntar a agencias gubernamentales involucradas en política exterior como parte de los esfuerzos de recopilación de inteligencia”, escribió Tom Burt, vicepresidente de seguridad y confianza del cliente de Microsoft, en una publicación de blog .

La campaña, que Microsoft llamó un incidente activo, apuntó a 3.000 cuentas de correo electrónico en 150 organizaciones, principalmente en los Estados Unidos, dijo Burt. Pero los objetivos están en al menos 24 países. Se dice que al menos una cuarta parte de las organizaciones seleccionadas están involucradas en cosas como el desarrollo internacional y el trabajo de derechos humanos.

El esfuerzo implicó el envío de correos electrónicos de phishing que se hicieron para parecer legítimos, pero diseñados para entregar archivos maliciosos.

La firma de ciberseguridad Volexity, que también rastreó la campaña pero tiene menos visibilidad en los sistemas de correo electrónico que Microsoft, escribió en una publicación que las tasas de detección relativamente bajas de los correos electrónicos de phishing sugieren que el atacante “probablemente estaba teniendo cierto éxito en la violación de objetivos”, informó Associated Press. .

Microsoft no dijo si o cuántos intentos tuvieron éxito. Dijo que muchos correos electrónicos en la campaña de alto volumen habrían sido bloqueados por sistemas automatizados.

La campaña de correo electrónico ha estado en marcha desde al menos enero y evolucionó a lo largo de las olas, dijo Microsoft en una publicación de blog separada .

Microsoft dijo en el blog del jueves que el spear-phishing de Nobelium es recurrente. “Se anticipa que el grupo puede llevar a cabo una actividad adicional utilizando un conjunto de tácticas en evolución”, dijo.

Nobelium, dijo Burt, accedió a la cuenta de USAID con Constant Contact, un servicio de correo masivo.

El miércoles, se enviaron correos electrónicos que debían parecer de USAID, incluidos algunos que decían “alerta especial” y “Donald Trump ha publicado nuevos documentos sobre fraude electoral”, dijo Microsoft.

Si los usuarios hacen clic en el enlace, se instala un archivo malicioso en su sistema que permite a Nobelium acceder a las máquinas comprometidas, dijo Microsoft.

Burt dijo que Microsoft detectó el ataque a través del trabajo de su centro de inteligencia de amenazas en el seguimiento de “actores del estado-nación”. Escribió que la empresa no tiene ninguna razón para creer que existe una vulnerabilidad con sus productos o servicios.

El ataque SolarWinds , que se descubrió a fines del año pasado, involucró la piratería de software ampliamente utilizado fabricado por la empresa con sede en Texas y provocó la infiltración de al menos nueve agencias federales y docenas de empresas.

El presidente de Microsoft, Brad Smith, lo calificó como “el ataque más grande y sofisticado que jamás se haya visto en el mundo”.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *