En otra señal de que los piratas informáticos rusos que violaron el software de monitoreo de red SolarWinds para comprometer una gran cantidad de entidades nunca desaparecieron, Microsoft dijo que el actor de amenazas detrás de las actividades cibernéticas maliciosas usó contraseñas y ataques de fuerza bruta en un intento de adivinar contraseñas y obtener acceso a las cuentas de sus clientes.
«Esta actividad reciente fue en su mayoría infructuosa, y la mayoría de los objetivos no se vieron comprometidos con éxito; conocemos tres entidades comprometidas hasta la fecha», dijo el viernes el Centro de Inteligencia de Amenazas del gigante tecnológico. «Todos los clientes que fueron comprometidos o atacados están siendo contactados a través de nuestro proceso de notificación de estado-nación».
El desarrollo fue informado por primera vez por el servicio de noticias Reuters. Los nombres de las víctimas no fueron revelados.
Se dice que la última ola de una serie de intrusiones se dirigió principalmente a empresas de TI, seguidas de agencias gubernamentales, organizaciones no gubernamentales, grupos de expertos y servicios financieros, con el 45% de los ataques ubicados en EE. UU., Reino Unido, Alemania y Canadá.
Nobelium es el nombre asignado por Microsoft al adversario del estado-nación responsable de los ataques sin precedentes a la cadena de suministro de SolarWinds que salieron a la luz el año pasado. Es rastreado por la comunidad de ciberseguridad más amplia bajo los apodos APT29, UNC2452 (FireEye), SolarStorm (Unidad 42), StellarParticle (Crowdstrike), Dark Halo (Volexity) y Iron Ritual (Secureworks).
Además, Microsoft dijo que detectó malware para robar información en una máquina perteneciente a uno de sus agentes de atención al cliente, que tenía acceso a la información básica de la cuenta de un pequeño número de sus clientes.
La información robada del cliente se usó extremadamente «en algunos casos» para lanzar ataques altamente dirigidos como parte de una campaña más amplia, señaló la compañía, y agregó que se movió rápidamente para asegurar el dispositivo. La investigación sobre el incidente aún está en curso.
La revelación de que los piratas informáticos han establecido un nuevo brazo de la campaña se produce un mes después de que Nobelium apuntó a más de 150 organizaciones diferentes ubicadas en 24 países al aprovechar una cuenta comprometida de USAID en una empresa de marketing por correo electrónico masivo llamada Constant Contact para enviar correos electrónicos de phishing que permitieron el grupo para desplegar puertas traseras capaces de robar información valiosa.
El desarrollo también marca la segunda vez que el actor de amenazas señala a Microsoft después de que la compañía revelara a principios de febrero que los atacantes habían logrado comprometer su red para ver el código fuente relacionado con sus productos y servicios, incluidos Azure, Intune y Exchange.
Además, la divulgación llega cuando la Comisión de Bolsa y Valores de EE. UU. (SEC) abrió una investigación sobre la violación de SolarWinds para examinar si algunas víctimas del ataque no habían revelado públicamente el evento de seguridad, informó Reuters la semana pasada.
