El grupo responsable del ciberataque a la empresa SolarWinds ha vuelto a enviar mensajes de phishing a varias autoridades, empresas y ONG. Microsoft lo advierte así a sus clientes en una entrada reciente de su blog. En Redmond, el ataque reiterado se considera ya la confirmación de una tendencia que se viene observando desde hace ya tiempo.
Varios miles de cuentas de correo electrónico afectadas
En el reciente ataque de phishing, según los informes de los medios de comunicación, ya se han visto afectadas hasta el momento unas 3.000 cuentas de correo electrónico, pertenecientes a más de 150 organizaciones diferentes, que van desde autoridades gubernamentales y grupos de expertos hasta empresas de consultoría y ONG. Los ataques se han producido en organizaciones localizadas en 24 países diferentes, aunque la mayor parte de los objetivos se encuentran en los EE. UU.
Según los análisis realizados, podría tratarse de nuevo del grupo ruso Nobelium, también conocido como APT29 o “Cozy Bear”, que ya fue responsable, según los expertos, del ciberataque a SolarWinds que tuvo lugar el otoño pasado.
Remitente de confianza: correos de Phishing enviados desde cuentas de autoridades públicas
En el caso actual, lo primero que hicieron los atacantes fue «secuestrar» una cuenta de la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID, United States Agency for International Development) a través de un proveedor de marketing desde la que enviaron los mensajes de phishing.
Uno de los enlaces que se incluía en estos mensajes de correo hacía referencia a un archivo, a través del cual los atacantes, según Microsoft, podían sustraer datos e infectar a su vez otros ordenadores. Además, queda claro que la estrategia de Nobelium, conocida desde hace mucho tiempo, es acceder a los proveedores de tecnología para infectar posteriormente a sus clientes (los denominados ataques a la cadena de suministro). Microsoft, en su centro de inteligencia sobre amenazas (Threat Intelligence Center), ha publicado otras informaciones técnicas detalladas sobre los métodos aplicados.
Ciberseguridad integral para el canal de comunicación de correo electrónico
Una vez más, queda demostrado que para la protección de los buzones de correo empresariales, ya sea «in situ» o en la nube, hoy en día resulta esencial disponer de una solución de Email Security lo más completa posible, que integre las funciones de filtro de phishing correspondientes. Si desea saber por qué es tan recomendable una solución de seguridad adicional basada en la nube , también para entornos de Microsoft 365, lea la entrada de blog que hemos publicado recientemente sobre este tema.