Palma de la cara: Aunque ahora pueden elegir entre una lista notablemente larga de ataques contra redes corporativas, los ciberdelincuentes a menudo recurren a métodos «más simples», como adivinar contraseñas por fuerza bruta. Después de todo, nadie está a salvo de cuentas de correo electrónico inseguras.
Microsoft detectó recientemente un ataque de un estado-nación contra su red de correo electrónico corporativo, identificando al probable culpable como Midnight Blizzard. También conocido como Apt29, Nobelium y Cozy Bear, el infame La banda rusa de cibercrimen es conocida por estar directamente vinculada a las actividades ofensivas de inteligencia del Kremlin contra Microsoft y otras importantes organizaciones occidentales.
El ataque comenzó a finales de noviembre de 2023, Microsoft reveló, cuando Midnight Blizzard empleó un ataque de pulverización de contraseñas para comprometer una cuenta de prueba heredada que no era de producción. La pulverización de contraseñas es un ataque de fuerza bruta por excelencia en el que un ciberdelincuente intenta adivinar la contraseña de un usuario conocido a partir de una lista de contraseñas comunes. El ataque suele ser automatizado y ocurre lentamente, ya que el actor de la amenaza intenta pasar desapercibido.
Una vez que se afianzaron en la cuenta «de prueba», los ciberdelincuentes rusos explotaron sus permisos para acceder a un porcentaje «muy pequeño» de cuentas corporativas. Miembros del equipo de liderazgo senior de la empresa, empleados de los departamentos de ciberseguridad, legal y otros se vieron afectados, y algunos correos electrónicos y documentos adjuntos fueron filtrados.
En última instancia, los piratas informáticos rusos estaban interesados en información sobre sus propias actividades, dijo Microsoft. No hubo evidencia de que los intrusos pudieran acceder a los entornos de los clientes, los sistemas de producción, el código fuente o los «sistemas de inteligencia artificial». La compañía también reitera que el ataque no fue el resultado de una vulnerabilidad en sus productos o servicios, aunque notificará a los clientes si surge la necesidad.
El ataque pone de relieve cuán peligrosos siguen siendo los actores estatales rusos (y Midnight Blizzard en particular) para todas las organizaciones de TI. Microsoft informó a los empleados afectados y negó a los piratas informáticos «un mayor acceso» a sus redes. La compañía también está preparando algunos cambios significativos en la forma en que se gestionan internamente los asuntos de seguridad en línea con el anuncio recientemente anunciado. Iniciativa de futuro seguro (SFI).
Microsoft empleará mecanismos de ciberdefensa «basados en IA» e impondrá una aplicación más estricta de normas internas a las aplicaciones heredadas (y a todo lo demás) para tratar de evitar otra incursión rusa en sus sistemas. El gigante de Redmond dice que quiere cambiar el equilibrio entre seguridad y riesgo empresarial, ya que el enfoque tradicional ya no es suficiente en un panorama que evoluciona rápidamente. Se espera cierto nivel de interrupción, pero se solucionará, dijo Microsoft.