Dirigido a alrededor de 3000 cuentas de correo electrónico en más de 150 organizaciones
Por Jon Porter @JonPorty 28 de mayo de 2021, 8:54 am EDT
Ilustración de Alex Castro / The Verge
Microsoft ha dado la alarma por un ciberataque en curso ” sofisticado ” que se cree que es de los mismos piratas informáticos vinculados a Rusia detrás del ataque de SolarWinds. En una publicación de blog, Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente de Microsoft, dijo que el ataque parece estar dirigido a agencias gubernamentales, grupos de expertos, consultores y ONG. En total, se cree que alrededor de 3.000 cuentas de correo electrónico han sido atacadas en 150 organizaciones. Las víctimas se distribuyen en más de 24 países, pero se cree que la mayoría se encuentra en los EE. UU.
Según Microsoft, los piratas informáticos de un actor de amenazas llamado Nobelium pudieron comprometer la cuenta de la Agencia de los Estados Unidos para el Desarrollo Internacional en un servicio de marketing llamado Constant Contact, lo que les permitió enviar correos electrónicos de phishing de apariencia auténtica. La publicación de Microsoft contiene una captura de pantalla de uno de estos correos electrónicos, que afirmaba contener un enlace a “documentos sobre fraude electoral” de Donald Trump. Sin embargo, cuando se hace clic en este enlace, se instala una puerta trasera que permite a los atacantes robar datos o infectar otras computadoras en la misma red.
SE ENVIARON CORREOS ELECTRÓNICOS DE PHISHING DESDE LA AGENCIA DE LOS ESTADOS UNIDOS PARA EL DESARROLLO INTERNACIONAL.
“Somos conscientes de que las credenciales de la cuenta de uno de nuestros clientes fueron comprometidas y utilizadas por un actor malintencionado para acceder a las cuentas de Constant Contact del cliente”, dijo un portavoz de Constant Contact en un comunicado. “Este es un incidente aislado y hemos desactivado temporalmente las cuentas afectadas mientras trabajamos en cooperación con nuestro cliente, que trabaja con las fuerzas del orden”.
Microsoft dice que cree que muchos de los ataques se bloquearon automáticamente y que su software antivirus Windows Defender también está limitando la propagación del malware. La Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional ha reconocido la publicación del blog de Microsoft y ha alentado a los administradores a aplicar las “mitigaciones necesarias”.
Esta salva de correos electrónicos maliciosos es una advertencia de que los ciberataques de la cadena de suministro contra organizaciones estadounidenses no muestran signos de desaceleración y que los piratas informáticos están actualizando sus métodos en respuesta a ataques anteriores que se hicieron públicos. En su publicación, Microsoft pide que se establezcan nuevas normas internacionales que rijan la “conducta de los Estados-nación en el ciberespacio” junto con expectativas de las consecuencias de romperlas.
El gobierno de Estados Unidos ha culpado a SVR, el servicio de inteligencia exterior ruso, por el ataque a SolarWinds, señala Bloomberg, aunque el presidente de Rusia, Vladimir Putin, ha negado la participación rusa. Se cree que el ataque ha comprometido a unas 100 empresas del sector privado y nueve agencias federales. Se cree que hasta 18.000 clientes de SolarWinds han estado expuestos al código malicioso. En respuesta, el presidente Biden anunció nuevas sanciones a Rusia y se movió para expulsar a 10 diplomáticos rusos de Washington, informa Bloomberg.