mayo 17, 2024

Ciberataque a las cuentas de correo electrónico de altos cargos de Microsoft: todo apunta al grupo de hackers ruso Nobelium

Voces de alarma en Redmond: Microsoft ha confirmado en las últimas horas que ha descubierto un ciberataque de Estado nación en sus sistemas. Como responsables del incidente señalan a Midnight Blizzard, más conocido como Nobelium. En el histotral de este grupo de hackers patrocinado por Rusia se encuentra el sofisticado ataque a SolarWinds.

Según ha explicado la big tech, los atacantes lograron acceder a las cuentas de correo electrónico de algunos miembros importantes de la empresa, concretamente a parte del equipo senior de liderazgo a finales de 2023.

Así entraron a los sistemas y qué cuentas fueron comprometidas (según la versión oficial)

Como detalla el Centro de Respuesta de Seguridad de Microsoft en la entrada de su blog publicada durante la noche del viernes, todo comenzó a finales de noviembre de 2023, cuando se llevó a cabo un ataque de pulverización de contraseñas para comprometer la seguridad de una cuenta de prueba heredada y a partir de ahí, hacerse un hueco.

Una vez se hicieron con la cuenta, utilizaron sus permisos para acceder a un porcentaje ‘muy pequeño‘ (en palabras de Microsoft) de cuentas corporativas de correo electrónico, entre ellas de personal de su equipo de liderazgo senior, de ciberseguridad y del área legal, entre otros. Además, exfiltraron algunos correos electrónicos y documentos adjuntos.

Microsoft ha detallado cómo entró Nobelium a sus sistemas, pero también argumenta que ‘El ataque no fue el resultado de una vulnerabilidad en los productos o servicios de Microsoft‘. Asimismo, limita la intromisión a esas cuentas de correo electrónico de personal, pero no tiene constancia al acceso no autorizado a entorno de clientes, sistemas de producción, código fuente o sistemas de inteligencia artificial.

El ataque a Microsoft deja incógnitas y una necesidad

Aunque de acuerdo con Microsoft el objetivo inicial de los hackers fueron las cuentas de correo electrónico para así obtener la información intercambiada sobre el propio grupo de atacantes. Es decir, descubrir qué datos manejaban de Midnight Blizzard.

No obstante, no queda claro qué otros emails y documentos han sido robados durante el proceso. Asimismo la empresa con sede en Redmond detalla que descubrió el ataque la semana pasada (el 12 de enero) pero no ha revelado durante cuánto tiempo pudieron acceder a los sistemas los atacantes.

Curiosamente el ataque se produjo pocos días después de que Microsoft anunciara su plan para revisar la seguridad de su software tras importantes ataques a Azure. Aunque las declaraciones de Microsoft dejan fuera a sus clientes y descartan una vulnerabilidad, no deja de ser otro ataque más de una larga lista. Cabe recordar no solo SolarWinds, sino también cuando se atacaron más de 30.000 servidores de correo electrónico de organizaciones por un fallo en Microsoft Exchange Serve o el acceso no autorizado por parte de hackers chinos a los correos electrónicos del gobierno estadounidense por un exploit en la nube de Microsoft el año pasado.

Microsoft se encuentra en fase de metamorfosis en materia de seguridad en su software y servicios a nivel de diseño, construcción, tests y operación con su ‘Secure Future Initiative‘. Esta apunta a ser una colosal modificación en enfoque de seguridad sin precedentes en mucho tiempo: hace falta retroceder hasta 2004, cuando anunció su Ciclo de Vida de Desarrollo de Seguridad (SDL) tras enormes fallos en Windows XP.

Portada | Montaje con foto de Sora Shimazaki en Pexels y Foto de M Rezaie en Unsplash

En Genbeta | Windows 10 y 11 tienen una herramienta escondida para detectar y eliminar malware: así puedes activarla y analizar tu PC