Microsoft alerta sobre un nuevo ataque dirigido a agencias gubernamentales por parte de cibercriminales rusos

Se cree que alrededor de 3.000 cuentas de correo electrónico han sido atacadas.
Se cree que alrededor de 3.000 cuentas de correo electrónico han sido atacadas.
Freepik
Se cree que alrededor de 3.000 cuentas de correo electrónico han sido atacadas.

El Microsoft Threat Intelligence Center (MSTIC), el centro de detección de ciberamenazas de Microsoft, afirma haber descubierto una “malintencionada campaña de correo electrónico a gran escala” operada por NOBELIUM, los mismos ciberdelincuentes vinculados a Rusia detrás del ataque de SolarWinds.

La alerta, publicada en el blog de la compañía por Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente de Microsoft, señala que este ciberataque estaría dirigido a agencias gubernamentales, grupos de expertos, consultores y ONG. En total, se cree que alrededor de 3.000 cuentas de correo electrónico han sido atacadas en 150 organizaciones. Las víctimas se distribuyen en más de 24 países, si bien la mayoría se encuentra en Estados Unidos.

“La campaña, inicialmente observada y rastreada por Microsoft desde enero de 2021, evolucionó a lo largo de una serie de oleadas que demuestran una experimentación significativa. El 25 de mayo de 2021, la campaña se intensificó cuando NOBELIUM aprovechó el servicio legítimo de correo masivo Constant Contact para hacerse pasar por una organización de desarrollo con sede en EE. UU. y distribuir URL maliciosas a una amplia variedad de organizaciones y verticales de la industria”, dice Burt en el post del blog.

Microsoft califica la campaña como “sofisticada” y asegura que está investigando el alcance y repercusión de este “incidente activo”.

Según explican, NOBELIUM se ha dirigido históricamente a organizaciones gubernamentales, organizaciones no gubernamentales (ONG), grupos de expertos, militares, proveedores de servicios de TI, tecnología e investigación en salud y proveedores de telecomunicaciones. En este último ataque están empleando “un patrón establecido de uso de infraestructura y herramientas únicas para cada objetivo, aumentando su capacidad para permanecer sin ser detectados durante un período de tiempo más largo”.

La compañía señala su carácter masivo como puerta de entrada: “Debido al gran volumen de correos electrónicos distribuidos en esta campaña, los sistemas automatizados de detección de amenazas de correo electrónico bloquearon la mayoría de los correos electrónicos maliciosos y los marcaron como spam. Sin embargo, algunos sistemas automatizados de detección de amenazas pueden haber entregado con éxito algunos de los correos electrónicos anteriores a los destinatarios, ya sea debido a la configuración y la configuración de políticas o antes de que se hayan implementado detecciones”.

Según Microsoft, los cibercriminales pudieron comprometer la cuenta de la Agencia de los Estados Unidos para el Desarrollo Internacional en Constant Contact, lo que les permitió enviar correos electrónicos de phishing de apariencia auténtica. La publicación del blog muestra una captura de pantalla de uno de estos correos electrónicos, que afirmaba contener un enlace a “documentos sobre fraude electoral” de Donald Trump. Sin embargo, cuando se hace clic en este enlace, se instala una puerta trasera que permite a los atacantes robar datos o infectar otros ordenadores de la misma red.

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.

Mostrar comentarios

Códigos Descuento