La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió el jueves una directiva de emergencia (ED 24-02) instando a las agencias federales a buscar signos de compromiso y promulgar medidas preventivas tras el reciente compromiso de los sistemas de Microsoft que condujo al robo de correspondencia por correo electrónico. con la compañía.
El ataque, que salió a la luz a principios de este año, se ha atribuido a un grupo de estado-nación ruso identificado como Midnight Blizzard (también conocido como APT29 o Cozy Bear). El mes pasado, Microsoft reveló que el adversario logró acceder a algunos de sus repositorios de código fuente, pero señaló que no hay evidencia de una violación de los sistemas de cara al cliente.
La directiva de emergencia, que se emitió originalmente de forma privada a las agencias federales el 2 de abril, fue reportado por primera vez por CyberScoop dos días después.
«El actor de la amenaza está utilizando información inicialmente extraída de los sistemas de correo electrónico corporativo, incluidos los detalles de autenticación compartidos entre los clientes de Microsoft y Microsoft por correo electrónico, para obtener, o intentar obtener, acceso adicional a los sistemas de los clientes de Microsoft», CISA dicho.
La agencia dijo que el robo de correspondencia por correo electrónico entre entidades gubernamentales y Microsoft plantea graves riesgos, e instó a las partes interesadas a analizar el contenido de los correos electrónicos exfiltrados, restablecer las credenciales comprometidas y tomar medidas adicionales para garantizar que las herramientas de autenticación para cuentas privilegiadas de Microsoft Azure sean seguras.
Actualmente no está claro a cuántas agencias federales se les han filtrado sus intercambios de correo electrónico a raíz del incidente, aunque CISA dijo que todas han sido notificadas.
La agencia también insta a las entidades afectadas a realizar un análisis del impacto en la seguridad cibernética antes del 30 de abril de 2024 y proporcionar una actualización de estado antes del 1 de mayo de 2024 a las 11:59 p. m. Se recomienda a otras organizaciones afectadas por la infracción que se comuniquen con sus respectivas cuentas de Microsoft. equipo para cualquier pregunta adicional o seguimiento.
«Independientemente del impacto directo, se recomienda encarecidamente a todas las organizaciones que apliquen estrictas medidas de seguridad, incluidas contraseñas seguras, autenticación multifactor (MFA) y prohibición de compartir información confidencial no protegida a través de canales no seguros», dijo CISA.
El desarrollo surge como CISA. liberado una nueva versión de su sistema de análisis de malware, llamado Malware de próxima generaciónque permite a las organizaciones enviar muestras de malware (anónimamente o no) y otros artefactos sospechosos para su análisis.