Microsoft reveló el 19 de enero que a partir de noviembre de 2023 se produjo un ataque respaldado por un estado-nación en el que el grupo de actores de amenazas patrocinado por el estado ruso Midnight Blizzard accedió a algunos correos electrónicos y documentos corporativos de Microsoft a través de cuentas de correo electrónico comprometidas.
Los atacantes obtuvieron acceso en noviembre de 2023 utilizando una cuenta de inquilino de prueba heredada. Desde allí, podían usar los permisos de esa cuenta para acceder a una pequeña cantidad de cuentas de correo electrónico corporativas de Microsoft; algunas de esas cuentas eran para miembros del equipo de liderazgo senior. Otras personas a cuyas cuentas de correo electrónico se accedió trabajan en los equipos legales y de ciberseguridad, entre otras funciones.
“La investigación indica que inicialmente buscaban cuentas de correo electrónico para obtener información relacionada con Midnight Blizzard”, escribió el equipo del Centro de respuesta de seguridad de Microsoft en la publicación del blog del 19 de enero.
“El ataque no fue el resultado de una vulnerabilidad en los productos o servicios de Microsoft”, escribió el equipo de Microsoft. “Hasta la fecha, no hay evidencia de que el actor de la amenaza tuviera acceso a los entornos de los clientes, los sistemas de producción, el código fuente o los sistemas de inteligencia artificial. Notificaremos a los clientes si se requiere alguna acción”.
¿Cómo accedió Midnight Blizzard a las cuentas de correo electrónico de Microsoft?
El grupo de actores de amenazas Midnight Blizzard utilizó una técnica llamada ataque de pulverización de contraseña. La pulverización de contraseñas es un ataque de fuerza bruta en el que los actores de amenazas envían spam o “rocían” contraseñas de uso común contra muchas cuentas diferentes en una organización o aplicación.
Cómo defenderse de los ataques de pulverización de contraseñas
La amenaza de un ataque de pulverización de contraseñas es una buena oportunidad para asegurarse de que su organización esté utilizando la autenticación multifactor, controlando las cuentas de prueba y caducadas más antiguas y ejecutando software SIEM actualizado.
Los ataques de pulverización de contraseñas pueden estar marcados por un fuerte aumento en el número de intentos de contraseña incorrectos o por tiempos inusualmente espaciados entre intentos. Este tipo de ataque puede ser efectivo si los usuarios no se ven obligados a cambiar sus contraseñas la primera vez que inician sesión. Una detección rigurosa de inicio de sesión, políticas de bloqueo sólidas y administradores de contraseñas pueden reducir la posibilidad de un ataque de pulverización de contraseñas.
VER: Estas son las tendencias actuales en ransomware, ataques a la infraestructura de red y otras amenazas cibernéticas. (República Tecnológica)
“Las empresas deben priorizar la educación de los empleados sobre los beneficios de las contraseñas sólidas y 2FA, así como las características de los ataques de ingeniería social, los enlaces y archivos adjuntos maliciosos, y los peligros del intercambio inseguro de contraseñas”, dijo Gary Orenstein, director de atención al cliente del servicio de gestión de contraseñas. firma Bitwarden, en un correo electrónico a TechRepublic. “Crear conciencia sobre la cultura de la organización a través de simulaciones o módulos interactivos para inculcar mejores hábitos de seguridad y reforzar una postura de ciberseguridad resiliente”.
Desafíos al enfrentar a los actores del Estado-nación
Los ataques patrocinados por el Estado serán una de las principales amenazas a la ciberseguridad en 2024. Estos ataques resaltan la necesidad de planes exhaustivos de respuesta a incidentes y monitoreo de inteligencia de amenazas, especialmente entre organizaciones que podrían ser un objetivo específico, como las grandes empresas tecnológicas o de infraestructura.
Con respecto a los actores estatales específicamente, Microsoft dijo que ataques como el reciente ataque de rociado de contraseñas hicieron que la compañía cambiara “el equilibrio que necesitamos lograr entre seguridad y riesgo comercial; el tipo de cálculo tradicional simplemente ya no es suficiente”.
“Para Microsoft, este incidente ha puesto de relieve la urgente necesidad de actuar aún más rápido. Actuaremos de inmediato para aplicar nuestros estándares de seguridad actuales a los sistemas heredados y procesos comerciales internos propiedad de Microsoft, incluso cuando estos cambios puedan causar interrupciones en los procesos comerciales existentes”, escribió Microsoft.
Nota del editor: cuando TechRepublic se puso en contacto con Microsoft para obtener más información, el gigante tecnológico nos indicó su publicación de blog.
