Por: Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente.
ACTUALIZACIÓN (28 de mayo de 2021, 1 p.m. PT): Nuestros equipos continúan con la investigación de la última ola de ataques de phishing lanzados por Nobelium. Según lo que sabemos hoy en día, la comunidad de seguridad debería sentirse bien con el trabajo colectivo realizado para limitar el daño causado por esta ola de ataques. Como notificamos a nuestros clientes objetivo y observamos de cerca otros informes, no vemos evidencia de un número significativo de organizaciones comprometidas en este momento. Más importante aún, los servicios antivirus, como Microsoft Defender Antivirus, y los productos de detección y respuesta de endpoints, como Microsoft Defender para Endpoint, identifican y protegen contra el malware que se usa en esta ola de ataques y trabajan en combinación con Microsoft Defender para Office 365. Es importante que todos los usuarios empleen una higiene básica de ciberseguridad, incluido el uso de autenticación multifactor, el uso de software antivirus / antimalware y tener cuidado de no hacer clic en enlaces de correo electrónico, a menos que pueda confirmar la confiabilidad para minimizar el riesgo de phishing. Continuaremos con el monitoreo la situación.
Esta semana observamos ciberataques del actor de amenazas Nobelium contra agencias gubernamentales, grupos de expertos, consultores y organizaciones no gubernamentales. Esta ola de ataques tuvo como objetivo alrededor de 3 mil cuentas de correo electrónico en más de 150 organizaciones diferentes. Si bien las organizaciones en los Estados Unidos recibieron la mayor parte de los ataques, las víctimas objetivo abarcan al menos 24 países. Al menos una cuarta parte de las organizaciones seleccionadas estaban involucradas en el trabajo internacional de desarrollo, humanitario y de derechos humanos. Nobelium, originario de Rusia, es el mismo actor detrás de los ataques a los clientes de SolarWinds en 2020. Estos ataques parecen ser una continuación de los múltiples esfuerzos de Nobelium para atacar a las agencias gubernamentales involucradas en la política exterior como parte de los esfuerzos de recopilación de inteligencia.
Nobelium lanzó los ataques de la semana pasada al obtener acceso a la cuenta de Constant Contact de USAID. Constant Contact es un servicio utilizado para marketing por correo electrónico. A partir de ahí, el actor pudo distribuir correos electrónicos de phishing que parecían auténticos pero que incluían un enlace que, al hacer clic, insertaba un archivo malicioso utilizado para distribuir una puerta trasera que llamamos NativeZone. Esta puerta trasera podría permitir una amplia gama de actividades, desde robar datos hasta infectar otras computadoras en una red. Pueden leer más sobre los aspectos técnicos de estos ataques en esta publicación de blog del Centro de inteligencia de amenazas de Microsoft (MSTIC).
Muchos de los ataques dirigidos a nuestros clientes se bloquearon de manera automática y Windows Defender bloquea el malware involucrado en este ataque. También estamos en el proceso de notificar a todos nuestros clientes que han sido objetivo. Detectamos este ataque e identificamos a las víctimas a través del trabajo continuo del equipo MSTIC en el seguimiento de los actores del estado-nación. No tenemos ninguna razón para creer que estos ataques involucran explotaciones o vulnerabilidades en los productos o servicios de Microsoft.
Estos ataques son notables por tres razones.
Primero, cuando se combina con el ataque a SolarWinds, está claro que parte del libro de jugadas de Nobelium es obtener acceso a proveedores de tecnología confiables e infectar a sus clientes. Al aprovechar las actualizaciones de software y ahora los proveedores de correo electrónico masivo, Nobelium aumenta las posibilidades de daños colaterales en las operaciones de espionaje y socava la confianza en el ecosistema tecnológico.
En segundo lugar, tal vez como era de esperar, las actividades de Nobelium y las de actores similares tienden a rastrear cuestiones que preocupan al país desde el que operan. En esta ocasión, Nobelium se centró en muchas organizaciones humanitarias y de derechos humanos. En el apogeo de la pandemia de COVID-19, el actor ruso Strontium se centró en las organizaciones de salud involucradas en las vacunas. En 2019, Strontium se centró en organizaciones deportivas y antidopaje. Y hemos revelado con anterioridad la actividad de Strontium y otros actores dirigida a elecciones importantes en los Estados Unidos y en otros lugares. Este es otro ejemplo más de cómo los ciberataques se han convertido en la herramienta elegida por un número creciente de estados-nación para lograr una amplia variedad de objetivos políticos, con el foco de estos ataques de Nobelium en organizaciones humanitarias y de derechos humanos.
En tercer lugar, los ciberataques de los estados-nación no se han desacelerado. Necesitamos reglas claras que gobiernen la conducta del estado-nación en el ciberespacio y expectativas claras de las consecuencias de la violación de esas reglas. Debemos continuar con las reuniones en torno al progreso logrado por el Llamado de París para la Confianza y la Seguridad en el Ciberespacio, y adoptar de manera más amplia las recomendaciones del Cybersecurity Tech Accord y el CyberPeace Institute. Pero necesitamos hacer más. Microsoft continuará su labor con gobiernos dispuestos y el sector privado para promover la causa de la paz digital.
