Agencias, Ciudad de México.- El grupo de ciberdelincuentes Midnight Blizzard ha estado utilizando la información que robó en el ataque que en enero dirigió contra Microsoft para obtener acceso no autorizado a repositorios y otros sistemas internos, como ha confirmado la compañía tecnológica.
En enero, la compañía tecnológica denunció un ataque perpetrado por el grupo de amenazas patrocinado por el estado ruso Midnight Blizzard, también conocido como Nobelium, a sus sistemas corporativos.
Aunque entonces aseguró que activó su proceso de respuesta “inmediatamente”, la investigación que siguió ha detectado que Midnight Blizzard ha utilizado la información que consiguió de su sistema de correo corporativo con el objetivo de “obtener, o intentar obtener, acceso no autorizado”.
“Esto incluye el acceso a algunos de los repositorios de código fuente y sistemas internos de la empresa“, explican desde Microsoft en una actualización sobre el incidente de seguridad.
Aseguran que no han identificado ninguna evidencia por la que los sistemas de atención al cliente alojados en Microsoft se hayan podido ver comprometidos, pero sí que el grupo de ciberlincuentes “está intentando utilizar secretos de diferentes tipos que ha encontrado”.
Asimismo, apuntan que Midnight Blizzard ha aumentado algunos aspectos de sus ataques, como la difusión de contraseñas, ya que han detectado un volumen hasta diez veces mayor en febrero respecto del mes anterior.
⚡ Alert ⇢ #Microsoft confirms Russian hackers (Midnight Blizzard) stole internal data & some source code after a January email breach. They're using stolen data to target customers.
Learn more ⬎ https://t.co/8LeeFW2MOn#cybersecurity #hacking #cyberattack #infosec
— The Hacker News (@TheHackersNews) March 9, 2024
Microsoft asegura que han aumentado sus inversiones en ciberseguridad y mejorado su capacidad de defensa y protección. Sobre todo porque creen que este actos de amenazas pueda estar usando la información “para acumular una imagen de las áreas a atacar y mejorar su capacidad para hacerlo”.
“Esto refleja lo que se ha convertido en un panorama de amenazas globales sin precedentes, especialmente en términos de ataques sofisticados a Estados-nación”, apostilla la compañía.
En la misma nota, han añadido que “Microsoft ha identificado al actor de amenazas como Midnight Blizzard, el actor patrocinado por el estado ruso también conocido como Nobelium”. “Como parte de nuestro compromiso continuo con la transparencia responsable, como se afirmó recientemente en nuestra Iniciativa Futuro Seguro (SFI), compartimos esta actualización”, han apostillado.
Asimismo, han relatado que el ataque comenzó en noviembre de 2023 y que su objetivo era acceder a los correos electrónicos de los empleados para sacar información. “Estamos en el proceso de notificar a los empleados cuyo correo electrónico fue accedido”, han dicho.
“El ataque no fue el resultado de una vulnerabilidad en los productos o servicios de Microsoft. Hasta la fecha, no hay evidencia de que el actor de la amenaza tuviera acceso a los entornos de los clientes, los sistemas de producción, el código fuente o los sistemas de inteligencia artificial”, han agregado.
Con este ataque, han expresado desde Microsoft, se “resalta el riesgo continuo que representan para todas las organizaciones los actores de amenazas de estados-nación con buenos recursos como Midnigth Blizzard”.
APT29 -> Microsoft
"This has included access to some of the company’s source code repositories and internal systems."https://t.co/Ki84VU1lta pic.twitter.com/g4kJPNC1jj
— blackorbird (@blackorbird) March 9, 2024
