Microsoft dice que los piratas informáticos de SolarWinds ahora apuntan a agencias gubernamentales y ONG
Microsoft ha observado al grupo detrás del infame ataque SolarWinds dirigido a numerosas agencias gubernamentales, grupos de expertos, ONG y más. Una nueva ola de ataques del grupo de piratas informáticos, apodado Nobelium, se ha dirigido a miles de cuentas de correo electrónico en más de 150 organizaciones.
Si bien la mayoría de las organizaciones están ubicadas en los EE. UU., Las organizaciones de víctimas abarcan 24 países, con muchos objetivos directamente involucrados en la ayuda humanitaria, el trabajo de derechos humanos y el desarrollo internacional.
Microsoft confirma la nueva campaña de SolarWinds Hackers
En una publicación en su blog Microsoft On the Issues , el vicepresidente corporativo de seguridad y confianza del cliente, Tom Burt, confirmó y detalló el último ataque de Nobelium.
Nobelium, originario de Rusia, es el mismo actor detrás de los ataques a los clientes de SolarWinds en 2020. Estos ataques parecen ser una continuación de los múltiples esfuerzos de Nobelium para atacar a las agencias gubernamentales involucradas en la política exterior como parte de los esfuerzos de recopilación de inteligencia.
El último ataque comenzó cuando Nobelium obtuvo acceso a una cuenta de marketing por correo electrónico de USAID. Desde allí, los atacantes podrían distribuir correos electrónicos de phishing dirigidos que contengan un enlace malicioso. Una vez que se hace clic, la víctima descarga e instala NativeZone, una puerta trasera que permite un amplio acceso y control sobre una computadora remota.
Según el blog técnico del Centro de inteligencia sobre amenazas de Microsoft sobre el ataque, muchos de los correos electrónicos maliciosos enviados pueden haber sido bloqueados y marcados como spam debido al enorme volumen en el que se enviaron.
Sin embargo, estos sistemas no son infalibles y algunos correos electrónicos pasan por sistemas de detección automática "ya sea debido a la configuración y la configuración de políticas o antes de que se hayan implementado las detecciones". Aún así, Microsoft señala que sus sistemas de seguridad están bloqueando el malware utilizado en el ataque.
El blog del Threat Intelligence Center también contiene información sobre el aspecto técnico del ataque Nobelium y el malware en uso.
SolarWinds Attackers Nobelium Resurface
El resurgimiento de Nobelium es una señal preocupante, sobre todo porque los atacantes tienen un historial exitoso de violar redes de alto nivel y obtener acceso a datos críticos.
Como Microsoft y otras compañías tecnológicas importantes han declarado constantemente, los gobiernos deben tomar más medidas contra los grupos de piratas informáticos de los estados nacionales (a veces denominados APT). Estos enormes ataques no se están desacelerando. En todo caso, la tasa de éxito está animando a los atacantes a buscar más objetivos, especialmente diversificándose en objetivos que pueden tener protocolos de seguridad flojos.
Finalmente, la variedad de objetivos también es preocupante. El apuntar a los esfuerzos humanitarios, las ONG y los activistas de derechos humanos ilustran que esta forma de ataque se ha convertido en una de las principales armas elegidas por ciertos estados-nación, utilizada para socavar o destruir el trabajo en curso en áreas críticas.