Nueva actividad del actor de amenaza Nobellium
AS-062-2021
Fecha: 28/Junio/2021
Resumen:
El Centro de Inteligencia de Amenazas de Microsoft está rastreando la nueva actividad del actor de amenazas identificado bajo el nombre de NOBELLIUM(hackers rusos). Los métodos y tácticas que se utilizan continúan, pero se registra pulverización de contraseñas y ataques de fuerza bruta, por lo que se comparte algunos detalles para ayudar a clientes de Microsoft y comunidades a protegerse.
Todos los clientes que se vieron comprometidos o dirigidos están siendo contactados a través del proceso de notificación de estado-nación.
Esta actividad se dirigió a clientes específicos, principalmente empresas de TI (57%), seguidas por el gobierno (20%), y porcentajes más pequeños para organizaciones no gubernamentales así como servicios financieros. La actividad se centró en gran medida en los intereses estadounidenses, alrededor del 45%, seguido por el 10% en el Reino Unido, y un número menor de Alemania y Canadá. En total, 36 países fueron atacados. Los ataques en su mayoría han sido infructuosos.
Se detectó también malware que roba información en una máquina del agente de atención al cliente con acceso a la información básica de la cuenta (contactos de facturación, nombres de usuarios y correos electrónicos) para un pequeño número de clientes. El actor utilizó esta información en algunos casos para lanzar ataques altamente dirigidos como parte de su campaña más amplia. Se respondió rápidamente, eliminando el acceso y asegurando el dispositivo. La investigación está en curso, pero podemos confirmar que los agentes de soporte están configurados con el conjunto mínimo de permisos necesarios como parte del enfoque de "acceso con privilegios mínimos". Se está notificando a todos los clientes afectados y hay apoyo para garantizar que sus cuentas permanezcan seguras.
Recomendaciones:
Esta actividad refuerza la importancia de las precauciones de seguridad recomendadas, como la del acceso con privilegios mínimos y la autenticación multifactor. A continuación se muestra información adicional sobre las prioridades de seguridad recomendadas:
- Administración de acceso a identidades.
- Confianza cero.
- Implementación de modelos de acceso con privilegios mínimos.
Referencias:
https://msrc-blog.microsoft.com/2021/06/25/new-nobelium-activity/
https://therecord.media/microsoft-says-solarwinds-hacking-group-has-breached-three-new-victims/
https://www.bankinfosecurity.com/group-behind-solarwinds-attack-targeted-microsoft-customers-a-16945
https://securityaffairs.co/wordpress/119425/apt/solarwinds-nobelium-ongoing-campaign.html