Microsoft dijo que los piratas informáticos respaldados por el Kremlin que violaron su red corporativa en enero han ampliado su acceso desde entonces en ataques posteriores dirigidos a clientes y que han comprometido el código fuente y los sistemas internos de la empresa.

La intrusión, que la compañía de software reveló en enero, fue llevada a cabo por Midnight Blizzard, el nombre utilizado para rastrear un grupo de piratas informáticos ampliamente atribuido al Servicio Federal de Seguridad, una agencia de inteligencia rusa. Microsoft dijo en ese momento que Midnight Blizzard obtuvo acceso a las cuentas de correo electrónico de altos ejecutivos durante meses después de explotar por primera vez una contraseña débil en un dispositivo de prueba conectado a la red de la compañía. Microsoft continuó diciendo que no tenía indicios de que su código fuente o sus sistemas de producción hubieran sido comprometidos.

Secretos enviados por correo electrónico

En una actualización publicada el viernes, Microsoft dijo que descubrió evidencia de que Midnight Blizzard había utilizado la información que obtuvo inicialmente para ingresar aún más en su red y comprometer tanto el código fuente como los sistemas internos. El grupo de piratas informáticos, que tiene muchos otros nombres, incluidos APT29, Cozy Bear, CozyDuke, The Dukes, Dark Halo y Nobelium, ha estado utilizando la información patentada en ataques posteriores, no solo contra Microsoft sino también contra sus clientes.

«En las últimas semanas, hemos visto evidencia de que Midnight Blizzard está utilizando información inicialmente extraída de nuestros sistemas de correo electrónico corporativo para obtener, o intentar obtener, acceso no autorizado», decía la actualización del viernes. “Esto ha incluido el acceso a algunos de los repositorios de código fuente y sistemas internos de la empresa. Hasta la fecha, no hemos encontrado evidencia de que los sistemas de atención al cliente alojados en Microsoft se hayan visto comprometidos.

En la divulgación de enero, Microsoft dijo que Midnight Blizzard utilizó un ataque de pulverización de contraseñas para comprometer una «cuenta heredada de inquilino de prueba que no es de producción» en la red de la compañía. Esos detalles significaban que la cuenta no había sido eliminada una vez que fue dada de baja, una práctica que se considera esencial para proteger las redes. Los detalles también significaron que la contraseña utilizada para iniciar sesión en la cuenta era lo suficientemente débil como para ser adivinada enviando un flujo constante de credenciales recopiladas de infracciones anteriores, una técnica conocida como pulverización de contraseñas.

En los meses transcurridos desde entonces, dijo Microsoft el viernes, Midnight Blizzard ha estado explotando la información que obtuvo anteriormente en ataques posteriores que han aumentado una tasa ya alta de pulverización de contraseñas.

Amenaza global sin precedentes

Los funcionarios de Microsoft escribieron:

Es evidente que Midnight Blizzard está intentando utilizar secretos de diferentes tipos que ha encontrado. Algunos de estos secretos se compartieron entre los clientes y Microsoft por correo electrónico y, a medida que los descubrimos en nuestro correo electrónico filtrado, nos hemos comunicado y nos comunicamos con estos clientes para ayudarlos a tomar medidas de mitigación. Midnight Blizzard ha aumentado el volumen de algunos aspectos del ataque, como la difusión de contraseñas, hasta 10 veces en febrero, en comparación con el ya gran volumen que vimos en enero de 2024.

El ataque en curso de Midnight Blizzard se caracteriza por un compromiso significativo y sostenido de los recursos, la coordinación y el enfoque del actor de la amenaza. Es posible que esté utilizando la información que ha obtenido para acumular una imagen de las áreas que atacar y mejorar su capacidad para hacerlo. Esto refleja lo que se ha convertido en un panorama de amenazas globales sin precedentes, especialmente en términos de ataques sofisticados a Estados-nación.

El ataque comenzó en noviembre y no fue detectado hasta enero. Microsoft dijo entonces que la violación permitió a Midnight Blizzard monitorear las cuentas de correo electrónico de altos ejecutivos y personal de seguridad, planteando la posibilidad de que el grupo pudiera leer comunicaciones confidenciales durante hasta tres meses. Microsoft dijo que una motivación para el ataque fue que Midnight Blizzard supiera lo que la compañía sabía sobre el grupo de amenazas. Microsoft dijo en ese momento y reiteró nuevamente el viernes que no tenía evidencia de que los piratas informáticos obtuvieran acceso a los sistemas de cara al cliente.

Midnight Blizzard se encuentra entre las APT más prolíficas, abreviatura de amenazas persistentes avanzadas, término utilizado para grupos de hackers capacitados y bien financiados que en su mayoría están respaldados por estados-nación. El grupo estuvo detrás del ataque a la cadena de suministro de SolarWinds que provocó el pirateo de los Departamentos de Energía, Comercio, Tesoro y Seguridad Nacional de EE. UU. y de unas 100 empresas del sector privado.

La semana pasada, el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) y sus socios internacionales advirtieron que en los últimos meses, el grupo de amenazas ha ampliado su actividad para apuntar a la aviación, la educación, las fuerzas del orden, los consejos locales y estatales, los departamentos financieros gubernamentales y las organizaciones militares.

Un grupo de piratas informáticos vinculado a una agencia de inteligencia rusa accedió a los correos electrónicos de varios altos ejecutivos de Microsoft y otros empleados, reveló la compañía el viernes.

Microsoft dijo que detectó el ataque el 12 de enero y determinó que el responsable es un grupo de piratas informáticos conocido como Midnight Blizzard o Nobelium. Ese es el mismo grupo detrás del ciberataque SolarWinds de 2020. Microsoft y funcionarios de ciberseguridad estadounidenses Nobelium es parte del Servicio de Inteligencia Exterior (SVR) de Rusia.

“A partir de finales de noviembre de 2023, el actor de amenazas utilizó un ataque de pulverización de contraseñas para comprometer una cuenta de inquilino de prueba heredada que no era de producción y hacerse un hueco, y luego utilizó los permisos de la cuenta para acceder a un porcentaje muy pequeño de cuentas de correo electrónico corporativas de Microsoft, incluidos los miembros. de nuestro equipo de liderazgo senior y empleados en nuestras funciones legales, de ciberseguridad y de otro tipo, y exfiltró algunos correos electrónicos y documentos adjuntos”, escribió la compañía en una publicación de blog.

La compañía no identificó qué miembros de su “alto liderazgo” fueron atacados, pero dijo que su investigación inicial sugiere que el grupo estaba buscando información relacionada con él mismo. Hasta el momento, los funcionarios de la empresa no tienen evidencia de que se haya accedido a “entornos de clientes, sistemas de producción, código fuente o sistemas de inteligencia artificial”.

Aunque la compañía dice que el ataque «no fue el resultado de una vulnerabilidad en los productos o servicios de Microsoft», está tomando medidas para mejorar «inmediatamente» la seguridad de los «sistemas heredados y procesos comerciales internos propiedad de Microsoft». Los cambios «probablemente causarán algún nivel de perturbación», añadió.

Microsoft revela hoy que ha descubierto un ataque de estado-nación a sus sistemas corporativos por parte del mismo grupo de hackers patrocinado por el estado ruso que fue responsable del sofisticado Ataque de vientos solares. Microsoft dice que los piratas informáticos, conocidos como Nobelium, pudieron acceder a las cuentas de correo electrónico de algunos miembros de su equipo de liderazgo a finales del año pasado.

“A partir de finales de noviembre de 2023, el actor de amenazas utilizó un ataque de pulverización de contraseñas para comprometer una cuenta de inquilino de prueba heredada que no era de producción y hacerse un hueco, y luego utilizó los permisos de la cuenta para acceder a un porcentaje muy pequeño de cuentas de correo electrónico corporativas de Microsoft, incluidos los miembros. de nuestro equipo de liderazgo senior y empleados en nuestras funciones legales, de ciberseguridad y de otro tipo, y exfiltró algunos correos electrónicos y documentos adjuntos”, dice el Centro de respuesta de seguridad de Microsoft. en una publicación de blog presentado a última hora del viernes.

Microsoft dice que el grupo estaba «inicialmente apuntando a cuentas de correo electrónico» para obtener información sobre ellos mismos, pero no está claro qué otros correos electrónicos y documentos han sido robados en el proceso. Microsoft descubrió el ataque la semana pasada, el 12 de enero, y la compañía no ha revelado durante cuánto tiempo los atacantes pudieron acceder a sus sistemas.

“El ataque no fue el resultado de una vulnerabilidad en los productos o servicios de Microsoft. Hasta la fecha, no hay evidencia de que el actor de la amenaza tuviera acceso a los entornos de los clientes, los sistemas de producción, el código fuente o los sistemas de inteligencia artificial”, afirma Microsoft.

El ataque tuvo lugar pocos días después de que Microsoft anunciara su plan para revisar la seguridad de su software luego de importantes ataques a la nube de Azure. Si bien los clientes de Microsoft no parecen haberse visto afectados por este nuevo incidente y no fue el resultado de una vulnerabilidad de Microsoft, este sigue siendo el último de una serie de incidentes de ciberseguridad para Microsoft. Se encontró en el centro del ataque de SolarWinds casi hace tres añosluego 30.000 organizaciones’ servidores de correo electrónico fueron pirateados en 2021 debido a una falla de Microsoft Exchange Server y piratas informáticos chinos Correos electrónicos violados del gobierno de EE. UU. a través de un exploit en la nube de Microsoft el año pasado.

Microsoft ahora está cambiando la forma en que diseña, construye, prueba y opera su software y servicios. Es el mayor cambio en su enfoque de seguridad desde que la compañía anunció su Ciclo de Vida de Desarrollo de Seguridad (SDL) en 2004 después de que enormes fallas de Windows XP dejaran fuera de línea a las PC.

Mint Mobile, el operador de telefonía móvil prepago respaldado por Ryan Reynolds, notificó a sus clientes por correo electrónico este fin de semana que su información podría haber sido robada en una violación de seguridad, según pitidocomputadora. Esa información incluye nombres, números de teléfono, direcciones de correo electrónico, descripciones de planes y números SIM e IMEI, que podrían usarse para ataques de intercambio de SIM.

Después de que un usuario de Reddit publicara una captura de pantalla del correo electrónico y preguntara si se trataba de una estafa, la cuenta Mint respondió para confirmar su validez y dijo que se había configurado un número de atención al cliente para atender preguntas sobre la infracción. Los piratas informáticos no accedieron a la información de la tarjeta de crédito de los clientes, que según Mint no se almacena, ni se vieron comprometidas las contraseñas. pitidocomputadora informes. La compañía también dijo que desde entonces resolvió la infracción y que los clientes no necesitan tomar ninguna medida.

23andMe confirmó que una violación reciente filtró datos pertenecientes a 6,9 millones de usuarios. En una declaración enviada por correo electrónico a El bordeel portavoz de la compañía, Andy Kill, dice que la infracción afectó a alrededor de 5,5 millones de usuarios que tenían habilitado DNA Relatives, una función que relaciona a usuarios con composiciones genéticas similares, mientras que a 1,4 millones de personas adicionales se les accedió a sus perfiles de árbol genealógico.

En una presentación ante la Comisión de Bolsa y Valores (SEC) y actualización de su publicación de blog A última hora del 1 de diciembre, 23andMe dijo que un actor de amenazas que utilizaba un ataque de relleno de credenciales (iniciar sesión con información de cuenta obtenida en otras violaciones de seguridad, generalmente debido a la reutilización de contraseñas) accedió directamente al 0,1 por ciento de las cuentas de usuario, lo que representa alrededor de 14.000 usuarios. Con acceso a esas cuentas, los atacantes utilizaron la función DNA Relatives, que relaciona a las personas con otros miembros con los que pueden compartir ascendencia, para acceder a información adicional de millones de otros perfiles.

Su declaración del viernes señaló que el hacker también accedió a «un número significativo de archivos» a través de la función Familiares pero no incluyo la figura indicado anteriormente.

matar dice El borde«Todavía no tenemos ningún indicio de que haya habido un incidente de seguridad de datos dentro de nuestros sistemas, o de que 23andMe fuera la fuente de las credenciales de cuenta utilizadas en estos ataques». Esta afirmación contradice el hecho de que la información de 6,9 ​​millones de usuarios está ahora en manos de atacantes. La inmensa mayoría de esas personas se ven afectadas porque optaron por una función proporcionada por 23andMe, que no logró evitar la infracción al limitar el acceso a la información o exigir seguridad adicional en la cuenta.

Los primeros signos públicos de problemas aparecieron en octubre cuando 23andMe confirmado La información del usuario estaba a la venta en la web oscura. El sitio de pruebas genéticas Más tarde dijo que estaba investigando. las afirmaciones de un pirata informático de que filtraron 4 millones de perfiles genéticos de personas en Gran Bretaña y «de las personas más ricas que viven en los EE. UU. y Europa occidental».

Los 5,5 millones de perfiles de DNA Relatives filtrados incluían usuarios que no formaron parte del ataque inicial de relleno de credenciales. Los datos revelados incluyen cosas como nombres para mostrar, relaciones previstas con otros, la cantidad de ADN que los usuarios comparten con coincidencias, informes de ascendencia, ubicaciones autoinformadas, ubicaciones de nacimiento de antepasados, apellidos, imágenes de perfil y más.

Los 1,4 millones de usuarios restantes que también participaron en la función DNA Relatives tuvieron acceso a sus perfiles de árbol genealógico. Esta característica también incluye nombres para mostrar, etiquetas de relaciones, año de nacimiento y ubicaciones autoinformadas. No incluye el porcentaje de ADN compartido con familiares potenciales en el sitio ni segmentos de ADN coincidentes.

23yyo dice todavía está en el proceso de notificar a los usuarios afectados por la infracción. También comenzó a advertir a los usuarios que restablezcan sus contraseñas y ahora requiere una verificación de dos pasos para usuarios nuevos y existentes, que anteriormente era opcional.

Una presentación ante la SEC ha revelado más detalles sobre una violación de datos que afecta a los usuarios de 23andMe y que se reveló a principios de este otoño. La compañía dice que su investigación encontró que los piratas informáticos pudieron acceder a las cuentas de aproximadamente el 0,1 por ciento de su base de usuarios, o alrededor de 14.000 de sus 14 millones de clientes totales. TechCrunch notas. Además de eso, los atacantes pudieron explotar la función DNA Relatives (DNAR) de 23andMe, que relaciona a los usuarios con sus parientes genéticos, para acceder a información sobre millones de otros usuarios. Un portavoz de 23andMe dijo a Engadget que los piratas informáticos accedieron a los perfiles DNAR de aproximadamente 5,5 millones de clientes de esta manera, además de la información del perfil de Family Tree de 1,4 millones de participantes de DNA Relative.

Los perfiles DNAR contienen detalles confidenciales que incluyen información autoinformada, como nombres para mostrar y ubicaciones, así como porcentajes de ADN compartidos para coincidencias de parientes de ADN, apellidos, relaciones previstas e informes de ascendencia. Los perfiles de Family Tree contienen nombres para mostrar y etiquetas de relaciones, además de otra información que un usuario puede optar por agregar, incluido el año de nacimiento y la ubicación. Cuando la violación se reveló por primera vez en octubre, la compañía dijo que su investigación «encontró que no se habían filtrado resultados de pruebas genéticas».

Según la nueva presentación, los datos «generalmente incluían información de ascendencia y, para un subconjunto de esas cuentas, información relacionada con la salud basada en la genética del usuario». Todo esto se obtuvo a través de un ataque de relleno de credenciales, en el que los piratas informáticos utilizaron información de inicio de sesión de otros sitios web previamente comprometidos para acceder a las cuentas de esos usuarios en otros sitios. Al hacer esto, dice el documento, «el actor de amenazas también accedió a una cantidad significativa de archivos que contienen información de perfil sobre la ascendencia de otros usuarios que dichos usuarios eligieron compartir al optar por la función DNA Relatives de 23andMe y publicaron cierta información en línea».

Tras el descubrimiento de la infracción, 23andMe ordenó a los usuarios afectados que cambiaran sus contraseñas y luego implementó la autenticación de dos factores para todos sus clientes. En otra actualización del viernes, 23andMe dijo que había completado la investigación y estaba notificando a todos los afectados. La compañía también escribió en el documento que «cree que la actividad del actor de amenazas está contenida» y está trabajando para eliminar la información publicada públicamente.

Actualización, 2 de diciembre de 2023, 7:03 p.m. ET: esta historia se actualizó para incluir información proporcionada por un portavoz de 23andMe sobre el alcance de la infracción y la cantidad de participantes de DNA Relative afectados.

La empresa de pruebas genéticas 23andMe anunció el viernes que los piratas informáticos accedieron a alrededor de 14.000 cuentas de clientes en la reciente violación de datos de la empresa.

En una nueva presentación ante la Comisión de Bolsa y Valores de EE. UU. publicada el viernes, la compañía dijo que, basándose en su investigación sobre el incidente, había determinado que los piratas informáticos habían accedido al 0,1% de su base de clientes. Según el informe anual de ganancias más reciente de la compañía, 23andMe tiene «más de 14 millones de clientes en todo el mundo», lo que significa que el 0,1% son alrededor de 14.000.

Pero la compañía también dijo que al acceder a esas cuentas, los piratas informáticos también pudieron acceder a «una cantidad significativa de archivos que contienen información de perfil sobre la ascendencia de otros usuarios que dichos usuarios eligieron compartir al optar por la función Familiares de ADN de 23andMe».

La empresa no especificó cuál es ese “número significativo” de archivos, ni cuántos de estos “otros usuarios” se vieron afectados.

23andMe no respondió de inmediato a una solicitud de comentarios, que incluía preguntas sobre esos números.

A principios de octubre, 23andMe reveló un incidente en el que los piratas informáticos habían robado los datos de algunos usuarios utilizando una técnica común conocida como «relleno de credenciales», mediante la cual los ciberdelincuentes piratean la cuenta de una víctima utilizando una contraseña conocida, tal vez filtrada debido a una violación de datos de otra persona. servicio.

El daño, sin embargo, no se limitó a los clientes a quienes se accedió a sus cuentas. 23andMe permite a los usuarios optar por una función llamada DNA Relatives. Si un usuario opta por esa función, 23andMe comparte parte de la información de ese usuario con otros. Eso significa que al acceder a la cuenta de una víctima, los piratas informáticos también pudieron ver los datos personales de las personas conectadas a esa víctima inicial.

23andMe dijo en la presentación que para los 14.000 usuarios iniciales, los datos robados «generalmente incluían información de ascendencia y, para un subconjunto de esas cuentas, información relacionada con la salud basada en la genética del usuario». Para el otro subconjunto de usuarios, 23andMe solo dijo que los piratas informáticos robaron “información de perfil” y luego publicaron “cierta información” no especificada en línea.

TechCrunch analizó los conjuntos publicados de datos robados comparándolos con registros genealógicos públicos conocidos, incluidos sitios web publicados por aficionados y genealogistas. Aunque los conjuntos de datos tenían un formato diferente, contenían parte de la misma información genética y de usuario única que coincidía con los registros genealógicos publicados en línea años antes.

El propietario de un sitio web de genealogía, cuya información de sus familiares quedó expuesta en la violación de datos de 23andMe, dijo a TechCrunch que tienen alrededor de 5.000 familiares descubiertos a través de 23andMe, y dijo que nuestras «correlaciones podrían tener eso en cuenta».

La noticia de la violación de datos surgió en línea en octubre cuando los piratas informáticos anunciaron los supuestos datos de un millón de usuarios de ascendencia judía asquenazí y 100.000 usuarios chinos en un conocido foro de piratería. Aproximadamente dos semanas después, el mismo hacker que anunció los datos iniciales de usuario robados anunció los supuestos registros de cuatro millones de personas más. El hacker intentaba vender los datos de las víctimas individuales por entre 1 y 10 dólares.

TechCrunch descubrió que otro hacker en un foro de piratería diferente había anunciado aún más datos de usuarios supuestamente robados dos meses antes del anuncio que fue reportado inicialmente por los medios de comunicación en octubre. En ese primer anuncio, el hacker afirmó tener 300 terabytes de datos de usuarios de 23andMe robados y pidió 50 millones de dólares para vender toda la base de datos, o entre 1.000 y 10.000 dólares por un subconjunto de los datos.

En respuesta a la violación de datos, el 10 de octubre, 23andMe obligó a los usuarios a restablecer y cambiar sus contraseñas y los animó a activar la autenticación multifactor. Y el 6 de noviembre, la empresa requirió que todos los usuarios utilizaran la verificación en dos pasos, según el nuevo documento.

Después de la violación de 23andMe, otras empresas de pruebas de ADN, Ancestry y MyHeritage, comenzaron a exigir la autenticación de dos factores.

ITV ha respondido a las afirmaciones de que algunos isla del amor los concursantes lograron acceder a las redes sociales mientras estaban en la villa.

Mientras participan en el programa ITV2, a los concursantes no se les permite ningún contacto con el mundo exterior.

Se les dan teléfonos móviles de producción para los famosos momentos «Tengo un mensaje de texto», pero están bloqueados de Internet.

Relacionado: isla del amorZara y Jordan comparten una actualización de su relación después de reunirse en el exterior

Sin embargo, un tabloide afirmó que el isleño abandonado Maxwell Samuda dijo en un Instagram en vivo que Tom Clare y Casey O’Gorman lograron adivinar la contraseña antes de descargar Instagram.

En un comunicado, ITV dijo (a través de Metro): «Ningún isleño ha descargado o tenido acceso a las redes sociales mientras estuvo en la villa».

Casey se convirtió en una de las últimas concursantes en abandonar el programa, junto con Rosie Seabrook en una brutal votación en el episodio de anoche (8 de marzo). Sin embargo, dijo que estaba contento de que él y Rosie ahora pudieran pasar tiempo juntos, lejos de la cámara.

Relacionado: isla del amor mercancias, regalos y mas

«No puedo esperar para presentársela a mi familia y a todos mis amigos», dijo en su entrevista de salida. «Creo que es el número uno en mi lista de prioridades. ¡Necesito la aprobación de mi madre!

«Estoy muy emocionada de ver a dónde van las cosas en el exterior. No puedo esperar para hacer algunas actividades, tener citas y pasar tiempo de calidad juntos. Será bueno también estar separados para ver si Realmente, realmente la extraño».

Rosie también habló sobre su relación, compartiendo su momento favorito entre la pareja.

“Se destaca la conversación que tuvimos justo antes de irnos donde discutimos cómo nos sentíamos y nos apoyamos. Creo que esa conversación era necesaria, ya que ambos sabíamos cómo nos sentíamos, pero ninguno de nosotros lo había dicho”, dijo.

isla del amor se transmite todas las noches en ITV2 y está disponible a través de ITVX y BritBox.

Botella de agua oficial Love Island 2022

Juego de 2 vasos de picnic con piña oficiales de Love Island

Tienda ITV
loveislandshop.es

15,00 libras esterlinas

Maleta de cabina personalizada oficial Love Island (pequeña)

Tienda ITV
itvshop.es

£ 58.00

Nadie puede cambiar tu vida excepto tú por Laura Whitmore

Tarjetas de felicitación oficiales de Love Island – Paquete de 5

Reclamando por Yewande Biala

Bata rosa personalizada oficial de Love Island

Tienda ITV
itvshop.es

£ 20,00

Tormenta en una copa C de Caroline Flack

Simón y Schuster
amazon.es

0,99 €

Cuenco para mascotas personalizado oficial de Love Island

Tienda ITV
itvshop.es

13,00 £

Vivir bien todos los días por el Dr. Alex George

Eres tonto de Ovie Soko

Publicaciones de cuadrilla
amazon.es

Moldeador de cabello múltiple Dyson Airwrap (como se ve en Love Island)

Dyson
johnlewis.com

£ 479.99

Hasta que te conocí de Amber Rose Gill

Molinos y bendición
amazon.es

Un día mejor por el Dr. Alex George, ilustrado por The Boy Fitz Hammond

No es el tipo de Camilla Thurlow

Publicaciones metropolitanas
amazon.es

Aún no estoy listo para ser adulto de Iain Stirling

HarperCollins
amazon.es

¿Qué haría Dani?: Mi guía para vivir tu mejor vida por Dani Dyer

El pequeño libro del gran amor del Dr. Marcel de Marcel Somerville

Publicación de parpadeo
amazon.es

La agencia de aplicación de la ley más antigua de Estados Unidos, el Servicio de Alguaciles de EE. UU., está en un poco de seguridad. problema. TLa agencia de la policía federal había sido atacada por piratas informáticos ransomware a principios de este mes en un episodio que los funcionarios dicen que involucró una cantidad significativa de datos «sensibles», segúntatención

¿Qué tan malo es esto? Si bien los detalles son escasos, la respuesta corta es: probablemente bastante mala. El USMS es el ala encargada de hacer cumplir la ley del poder judicial federal de los Estados Unidos y depende de la Oficina del Fiscal General. Como resultado, sus sistemas digitales transportan una cantidad significativa de información relacionada con casos legales e investigaciones federales. El Departamento de Justicia, que supervisa el USMS, ahora ha lanzado una investigación sobre el ataque y, aunque la agencia no dice mucho, ha caracterizado el episodio como un incidente «importante». ¿Qué significa eso realmente? Tbh, no lo sabemos, pero basta con decir que no suena bien.

¿Qué pasó con los mariscales?

Esto es lo que nosotros hacer saber. De acuerdo a un declaración compartido por el USMS con la prensa, el incidente se descubrió el 17 de febrero, cuando los funcionarios encontraron «un evento de exfiltración de datos y ransomware que afectó a un sistema USMS independiente». Los funcionarios tienen inició una investigación forense sobre el hackeo, encontrando que la violación “El sistema afectado contiene información confidencial de las fuerzas del orden público, incluidas las declaraciones de procesos legales, información administrativa e información de identificación personal relacionada con los sujetos de las investigaciones de USMS, terceros y ciertos empleados de USMS”. Los funcionarios no han dicho si se dejó una nota de rescate, ni si identificaron a la banda de ciberdelincuentes detrás de la violación de datos. Gizmodo se comunicó con el Servicio de Alguaciles de EE. UU. para obtener información adicional y actualizará esta historia si responden.

Lo que sabemos con certeza sobre el ataque de ransomware

Los alguaciles quieren que todos sepan una cosa: los datos robados durante el hack no no se relacionan con su codiciado programa de Protección de Testigos. El conocido programa USMS, que utiliza técnicas sofisticadas para ocultar las identidades y ubicaciones de testigos fundamentales en casos federales (henry colina, alguien?), no se vio afectado por la brecha de seguridad. Así que… uf. Eso es bueno. Dicho esto, no es exactamente un listón muy alto para establecer, ¿verdad? Uno esperaría que, como mínimo, el gobierno pudiera mantener ese tipo de datos a salvo de miradas indiscretas.

¿Quién está detrás de este ataque “importante”?

No lo sabemos, pero probablemente lo sepamos pronto. Las pandillas de ransomware normalmente no roban datos de objetivos de alto perfil y luego se quedan callados al respecto. Todo este episodio recuerda un incidente de 2021 en el que los ciberdelincuentes asociados con el Casillero Babuk Una pandilla de ransomware atacó el Departamento de Policía Metropolitana de DC. Los piratas informáticos robaron datos confidenciales, incluidos expedientes sobre policías actuales y anteriores, inteligencia informes relacionados con el incidente del 6 de enero y otra información confidencial. Cuando la policía no pagó un rescate de $4 millones, la pandilla filtrado los datos por todo internet. Estoy seguro de que los alguaciles estadounidenses están preocupados de que suceda algo similar aquí y, desafortunadamente, la probabilidad de que sus datos no dispersarse por toda la web oscura no se ve particularmente bien en este momento.

Reddit ha confirmado que los piratas informáticos accedieron a documentos internos y al código fuente luego de un ataque de phishing «altamente dirigido».

Una publicación del CTO de Reddit, Christopher Slowe, o KeyserSosa, explicó que el 5 de febrero la compañía se dio cuenta del ataque «sofisticado» dirigido a los empleados de Reddit. Él dice que un atacante aún no identificado envió «indicaciones que suenan plausibles», que redirigieron a los empleados a un sitio web disfrazado como el portal de intranet de Reddit en un intento de robar credenciales y tokens de autenticación de dos factores.

Slowe dijo que recientemente se informaron «intentos de phishing similares», sin nombrar ejemplos específicos, pero comparó la violación con el reciente ataque de Riot Games, en el que los atacantes usaron tácticas de ingeniería social para acceder al código fuente del sistema anti-trampa heredado de la compañía.

Reddit dijo que los piratas informáticos obtuvieron con éxito las credenciales de un empleado, lo que les permitió acceder a documentos internos y código fuente, así como a algunos paneles internos y sistemas comerciales.

Slowe dijo que la compañía se enteró de la violación después de que el empleado phishing autoinformara el incidente al equipo de seguridad de Reddit. Reddit cortó rápidamente el acceso de los infiltrados y comenzó una investigación interna.

Reddit, que tiene más de 50 millones de usuarios diarios, dijo que su investigación encontró que también se accedió a cierta información de contacto de cientos de empleados actuales y anteriores, así como a cierta información de anunciantes. Reddit dijo que «no tiene evidencia» de que los datos personales de los usuarios y otros datos no públicos hayan sido robados, publicados o distribuidos en línea.

Independientemente, Reddit ha recomendado que todos los usuarios configuren la autenticación de dos factores en sus cuentas y usen un administrador de contraseñas. “Además de proporcionar contraseñas muy complicadas, brindan una capa adicional de seguridad al advertirle antes de usar su contraseña en un sitio de phishing”, dice Slowe.

“Continuamos investigando y monitoreando la situación de cerca y trabajando con nuestros empleados para fortalecer nuestras habilidades de seguridad”, agregó. “Como todos sabemos, los humanos suelen ser la parte más débil de la cadena de seguridad”.

Reddit experimentó una violación de datos más grave en 2018 en la que los atacantes accedieron a una copia completa de los datos de Reddit de 2007, que comprende los primeros dos años de operaciones del sitio. Esto incluía nombres de usuario, contraseñas codificadas, correos electrónicos, publicaciones públicas y mensajes privados.