Microsoft dijo hoy que fue pirateado por un «actor patrocinado por el estado ruso» llamado Midnight Blizzard, también conocido como Nobelium. Ese es el mismo grupo de piratas informáticos sospechosos de ser responsables del importante hackeo de la cadena de suministro de SolarWinds que ocurrió en 2020.
«A partir de finales de noviembre de 2023, el actor de amenazas utilizó un ataque de pulverización de contraseñas para comprometer una cuenta de inquilino de prueba heredada que no era de producción y hacerse un hueco, y luego utilizó los permisos de la cuenta para acceder a un porcentaje muy pequeño de las cuentas de correo electrónico corporativas de Microsoft, incluidos los miembros. de nuestro equipo de liderazgo senior y empleados en nuestras funciones de ciberseguridad, legales y otras, y exfiltró algunos correos electrónicos y documentos adjuntos», escribió Microsoft.
«La investigación indica que inicialmente estaban apuntando a cuentas de correo electrónico en busca de información relacionada con Midnight Blizzard. Estamos en el proceso de notificar a los empleados a cuyo correo electrónico se accedió».
Microsoft dijo que detectó el ataque el 12 de enero. No dio más detalles sobre qué información pudo haber estado buscando Midnight Blizzard/Nobelium, pero hay una larga historia entre los dos. En 2021, tras el ataque a SolarWinds, Microsoft publicó una serie de blogs y vídeos de cuatro partes sobre el grupo que «corre el telón sobre el incidente de NOBELUM y cómo los cazadores de amenazas de talla mundial de Microsoft y de toda la industria se unieron para afrontar el problema». El ataque a un Estado-nación más sofisticado de la historia».
Microsoft también ha asumido un papel activo en la lucha contra los ciberataques rusos contra Ucrania.
La «rociación de contraseñas» es un ataque de fuerza bruta en el que un hacker accede a nombres de usuario válidos conocidos con contraseñas comunes con la esperanza de que alguien se vuelva perezoso y use algo como «1234». Los sistemas automatizados se utilizan a menudo para revisar una gran cantidad de contraseñas en un período de tiempo relativamente corto, y es difícil defenderse de ellos porque no explotan las vulnerabilidades de los sistemas, sino de los usuarios.
Desde el sitio web de la empresa de seguridad en línea Login Radius:
Los piratas informáticos pueden perseguir usuarios y ciclos específicos utilizando tantas contraseñas como sea posible de un diccionario o de una lista editada de contraseñas comunes. La pulverización de contraseñas no es un ataque dirigido, es simplemente un actor malicioso que adquiere una lista de cuentas de correo electrónico o obtiene acceso a un directorio activo e intenta iniciar sesión en todas las cuentas usando una lista de las contraseñas más probables, populares o comunes hasta que reciben un golpe.
La conclusión clave de la pulverización de contraseñas es que las cuentas de usuario con contraseñas antiguas o comunes forman el eslabón débil que los piratas informáticos pueden aprovechar para obtener acceso a la red. Desafortunadamente, los ataques de dispersión de contraseñas suelen tener éxito porque muchos usuarios de cuentas no siguen las mejores prácticas de protección de contraseñas o prefieren la comodidad a la seguridad.
Microsoft dijo esencialmente lo mismo, señalando que el ataque «no fue el resultado de una vulnerabilidad en los productos o servicios de Microsoft». Actualmente no hay evidencia de que los piratas informáticos hayan obtenido acceso a «entornos de clientes, sistemas de producción, código fuente o sistemas de inteligencia artificial», y notificará a los clientes si se requiere alguna acción adicional.
Incluso si ese fuera el caso, el ataque tendrá un impacto: Microsoft dijo que la proliferación de piratas informáticos patrocinados por el estado lo ha obligado a reevaluar «el equilibrio que necesitamos lograr entre la seguridad y el riesgo empresarial», y que aplicará inmediatamente «las medidas de seguridad actuales». estándares para sistemas heredados propiedad de Microsoft y procesos comerciales internos».
«Esto probablemente causará cierto nivel de perturbación mientras nos adaptamos a esta nueva realidad, pero es un paso necesario y sólo el primero de varios que daremos para adoptar esta filosofía».
Microsoft ha estado en el centro de numerosos ataques importantes en los últimos años. En 2021, Estados Unidos y otras naciones de la OTAN acusaron a China de patrocinar ataques a Microsoft Exchange Server, y en 2022, un ataque de Lapsus$ resultó en el robo del código fuente de Bing y Cortana. En 2023, su plataforma Azure fue vulnerada por un grupo de hackers chino que pudo obtener acceso a las cuentas de correo electrónico de los usuarios; Eso llevó al presidente y director ejecutivo de Tenable, Amit Yoran, a acusar a la empresa de un «patrón repetido de prácticas negligentes en materia de ciberseguridad, que ha permitido el espionaje chino contra el gobierno de Estados Unidos».