Los hackers de SolarWinds resurgen para atacar a las agencias gubernamentales y los imagine tanks


Con operaciones en Rusia, el grupo de delitos informáticos Nobelium se ha dirigido a 3.000 cuentas de correo electrónico en más de 150 organizaciones, dice Microsoft.

istock-958122884.jpg

NicoElNino, Getty Photos / iStockphoto

El grupo detrás de los infames ataques de SolarWinds está en otra ola de ciberataques, esta vez apuntando no solo a agencias gubernamentales sino también a otras. en un informe publicado el juevesMicrosoft reveló que el actor de amenazas Nobelium lanzó una serie de ataques la semana pasada contra agencias gubernamentales, believe tanks, consultores y organizaciones no gubernamentales. Más del 25% de las víctimas estaban involucradas en trabajo internacional de desarrollo, humanitario y de derechos humanos, según Microsoft.

VER: Política de respuesta a incidentes (TechRepublic High quality)

Afectando a más de 150 organizaciones diferentes, los ataques se dirigieron a 3.000 cuentas de correo electrónico distintas. Muchos de los ataques fueron bloqueados automáticamente por computer software de seguridad, y Home windows Defender de Microsoft detectó el malware utilizado para intentar comprometer a las organizaciones.

Al identificar al culpable como Nobelium, Microsoft señaló que este es el mismo grupo detrás del hack de SolarWinds en 2020. Esos ataques, que explotaron un agujero de seguridad en una herramienta de monitoreo de SolarWinds, afectaron a diferentes agencias gubernamentales y se consideraron patrocinados por Rusia. Microsoft calificó el último incidente como una continuación de los diferentes esfuerzos de recopilación de información de Nobelium para apuntar a las agencias gubernamentales involucradas en la política exterior.

Los ataques de esta semana comenzaron después de que Nobelium pudo comprometer una cuenta utilizada por la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID), que administra la ayuda y asistencia exterior civil. Específicamente, el grupo obtuvo acceso a la cuenta de USAID para Consistent Speak to, un servicio utilizado para advertising por correo electrónico.

Después del acceso inicial, los atacantes pudieron enviar correos electrónicos de phishing haciéndose pasar por los de USAID. Pero estos correos electrónicos venían con un archivo adjunto malicioso que, si se abría, desplegaba un malware de puerta trasera conocido como NativeZone, capaz de robar datos e infectar otras computadoras en pink.

En su informe, Microsoft citó diferentes razones por las que estos últimos ataques son alarmantes.

Como continuación del ataque de SolarWinds, el compromiso de Constant Make contact with muestra que Nobelium está tratando de obtener acceso a compañías de tecnología confiables como una forma de infectar a sus clientes. En el ataque a SolarWinds, el grupo aprovechó el proceso de actualización de application para la herramienta de monitoreo Orion de la compañía. En el último ataque, Nobelium ha ido tras los proveedores de correo electrónico masivo. Estas tácticas aumentan las probabilidades de que ocurran daños reales en lo que es esencialmente un operador de espionaje y debilitan la confianza en la tecnología.

Los ataques lanzados por Nobelium y otros grupos patrocinados por el estado están dirigidos en el sentido de que explotan preocupaciones específicas de un determinado país en un momento determinado. El año pasado durante el brote de coronavirus, el grupo de ciberdelincuencia ruso Organizaciones sanitarias dirigidas al estroncio trabajando en vacunas. El año anterior, fue tras organizaciones deportivas y antidopaje. El estroncio y otros grupos también han intentado afectar las elecciones en Estados Unidos y otros países.

En esta ocasión, el Nobelium estaba dirigido a organizaciones humanitarias y de derechos humanos. Estas tendencias revelan cómo los ciberataques están siendo utilizados como armas políticas por estados nacionales hostiles para socavar a otros países.

A medida que continúan aumentando los ataques cibernéticos patrocinados por el estado, Microsoft señaló la necesidad de reglas claras que controlen las actividades de los estados nacionales en el ciberespacio y sanciones claras por violar esas reglas. La empresa instó a los países a unirse en torno a la Llamado de París para la confianza y la seguridad en el ciberespacio y siga las recomendaciones del Acuerdo tecnológico de ciberseguridad y el Instituto CyberPeace.

«La campaña destacada por Microsoft es otro ejemplo de cómo las campañas de phishing dirigidas siguen constituyendo una seria amenaza contra las instituciones de cualquier tipo», dijo el investigador de amenazas de Digital Shadows Stefano De Blasi. «Su capacidad para provocar fuertes respuestas emocionales de los destinatarios del correo electrónico es un component critical que explica su éxito y, al mismo tiempo, hace que sea muy difícil defenderse de ellos».

Protegerse a sí mismo y a su organización contra este tipo de ataques requiere un enfoque doble, según De Blasi. En primer lugar, debe asegurarse de que sus empleados reciban la capacitación adecuada en conciencia de seguridad para hacer cumplir las mejores prácticas. En segundo lugar, debe actualizar continuamente la detección de su punto closing para intentar detectar cualquier amenaza maliciosa que traspase las capas de su pink o correo electrónico.

La formación de los empleados ciertamente se vuelve más desafiante cuando las fuentes detrás de los correos electrónicos parecen convincentemente creíbles como en estos ataques del Nobel. Por eso es importante complementar sus defensas con herramientas que puedan detener estos mensajes maliciosos antes de que lleguen a la bandeja de entrada de alguien.

«Los empleados tendrán más dificultades para distinguir entre buenos y malos, entre confiables y no confiables, lo que aumenta la importancia de tener un enfoque de capa cebolla para los controles de seguridad, superpuestos entre sí como respaldo», dijo Dirk Schrader, vicepresidente world de investigación de seguridad. en New Internet Systems.

«La prevención es bastante difícil cuando una empresa es la receptora de este tipo de campañas maliciosas utilizando cuentas confiables pero comprometidas», agregó Schrader. «Las capacidades de detección cobran importancia y, a lo largo de la cadena de ciberseguridad, se tratará de detectar cambios maliciosos lo antes posible, ya que representan el 85% de todos los incidentes, según Gartner».

Ver también



Enlace a la noticia primary