Una nueva campaña de actividad maliciosa del mismo grupo de delincuentes cibernéticos que causó una interrupción generalizada después de irrumpir en los sistemas de varias organizaciones a través de una actualización contaminada de la plataforma SolarWinds Orion sirve como un recordatorio a los defensores de que los actores maliciosos siguen muy motivados para buscar nuevos vectores de ataque ya que sus antiguos están cerrados.
La noticia de la campaña surgió por primera vez justo antes del fin de semana del 26 al 27 de junio de 2021, cuando el Centro de Inteligencia de Amenazas de Microsoft publicó un nuevo anuncio de divulgación que revela que había estado rastreando la actividad que se originó en el grupo SolarWinds, al que atribuye el nombre de Nobelium, explotando la tecnología de Microsoft. capacidades de soporte.
Microsoft reveló que como parte de su investigación sobre la nueva actividad de Nobelium, encontró malware que roba información en una máquina perteneciente a uno de sus agentes de atención al cliente que tenía acceso a información básica de la cuenta de algunos clientes.
“El actor usó esta información en algunos casos para lanzar ataques altamente dirigidos como parte de su campaña más amplia. Respondimos rápidamente, eliminamos el acceso y aseguramos el dispositivo ”, dijo el equipo de Microsoft.
“La investigación está en curso, pero podemos confirmar que nuestros agentes de soporte están configurados con el conjunto mínimo de permisos requeridos como parte de nuestro enfoque de ‘acceso menos privilegiado’ de confianza cero a la información del cliente. Estamos notificando a todos los clientes afectados y los apoyamos para garantizar que sus cuentas permanezcan seguras “.
Microsoft dijo que se dio cuenta del compromiso de Nobelium del sistema de su personal después de rastrear una serie de ataques burdos y en su mayoría infructuosos que involucran intentos de rociar contraseñas y ataques de fuerza bruta. Cree que tres organizaciones se vieron comprometidas.
“Este tipo de actividad no es nueva y seguimos recomendando a todos que tomen precauciones de seguridad, como habilitar la autenticación de múltiples factores para proteger sus entornos de este y otros ataques similares”, dijo Microsoft. “Esta actividad refuerza la importancia de las mejores prácticas de precaución de seguridad, como la arquitectura de confianza cero y la autenticación multifactor, y su importancia para todos”.
El equipo de inteligencia dijo que la actividad estaba claramente dirigida a sectores específicos, principalmente empresas de tecnología y TI, organismos gubernamentales y un pequeño número de organizaciones no gubernamentales (ONG), grupos de expertos y organizaciones de servicios financieros. Casi la mitad de los intentos de ataque fueron contra organizaciones con sede en EE. UU., Alrededor del 10% en el Reino Unido y un número menor en Canadá y Alemania.
Ilia Kolochenko de ImmuniWeb dijo que la exposición de la campaña de Nobelium era una prueba convincente de que la higiene general de la seguridad cibernética es, hasta cierto punto, deficiente.
“Los ataques de rociado de contraseñas y relleno de credenciales se pueden prevenir habilitando MFA, restringiendo el acceso a las cuentas de redes específicas o al menos de países, y pueden ser detectados fácilmente por los sistemas de detección de anomalías”, dijo. “Además, un proceso de monitoreo de la web oscura implementado correctamente debería alertar a las organizaciones rápidamente sobre las credenciales robadas que deben ser desmanteladas urgentemente. Estos son los conceptos básicos de la seguridad de la información “.
Kolochenko instó a las organizaciones a invertir en sus líneas base cibernéticas e implementar estrategias consistentes para evitar ataques técnicamente poco sofisticados como el de Nobelium; de lo contrario, continuarán aumentando.
Trevor Morgan, de Comforte, dijo que la actividad continua de Nobelium no debería ser una sorpresa dada la reciente historia de ataques del grupo.
“Dado que el gran porcentaje de sus ataques se centra en empresas de tecnología y agencias gubernamentales, estas organizaciones tienen un alto nivel de motivación para moverse de manera proactiva más allá de los métodos tradicionales de protección de acceso de usuarios y perimetrales en un intento de evitar futuros ataques”, dijo. aconsejado.
Sin embargo, agregó Morgan, un problema más urgente para muchas organizaciones era que la información altamente sensible también tiende a ser muy valiosa dentro de los flujos de trabajo corporativos para actividades como el análisis de datos y las pruebas de desarrollo, por lo que las herramientas de seguridad centradas en los datos, como la tokenización, también deberían ser considerado.