Recientemente, hubo una violación de seguridad de Microsoft con un propósito al que no estamos acostumbrados.
¿Recuerda la curiosa sensación de querer echar un vistazo a su propio expediente en el gabinete “No abrir” del consultorio del médico? Resulta que incluso los gigantes tecnológicos como Microsoft experimentan la misma picazón. ¿Y quién debería estar rascándoselo por ellos, sino un grupo de presuntos piratas informáticos del gobierno ruso con un giro inusual? Ventisca de medianocheo APT29, busca el autoconocimiento, no los secretos.
El viernes pasado, el gigante tecnológico reveló la brecha de seguridad de Microsoft. En lugar de arrebatar datos de clientes o joyas corporativas, estos detectives digitales descifraron correos electrónicos de altos directivos, ciberseguridad y equipos legales, aparentemente obsesionados con una pregunta candente: “¿Qué sabe Microsoft sobre nosotros”?
¿Cómo ocurrió la brecha de seguridad de Microsoft?
Los piratas informáticos obtuvieron acceso inicial a través de un “ataque de pulverización de contraseña” dirigido a una cuenta heredada. Esto probablemente significa que utilizaron software automatizado para probar numerosas combinaciones de contraseñas con una cuenta más antigua y potencialmente menos segura dentro del sistema de Microsoft.
Después de obtener acceso a la cuenta inicial, los piratas informáticos utilizaron sus permisos para acceder a un pequeño porcentaje de otras cuentas de correo electrónico corporativas de Microsoft. Este proceso de moverse dentro de la red utilizando una cuenta comprometida para acceder a otras se llama movimiento lateral.
Microsoft afirma que la investigación indica que los piratas informáticos atacaron específicamente cuentas de correo electrónico que contenían información relacionada con Midnight Blizzard. Esto sugiere que no buscaban datos corporativos generales, sino específicamente conocimiento sobre cómo Microsoft percibía y rastreaba sus actividades.
Si bien Microsoft no ha dicho explícitamente qué tipo de ataque de pulverización de contraseñas se utilizó en la última violación de seguridad de Microsoft, los métodos comunes incluyen ataques de diccionario (usando contraseñas comunes) y ataques de fuerza bruta (probando sistemáticamente todas las combinaciones posibles de contraseñas).
Si bien sabemos poco sobre la violación de seguridad de Microsoft, la gigante empresa de tecnología aún no ha confirmado:
- el exacto número de cuentas de correo electrónico vulneradas
- Los detalles sobre que información los hackers accedieron o robaron
- Lo especifico vulnerabilidades explotadas en la cuenta heredada
Si bien los detalles del botín permanecen en secreto (Microsoft no habla), el objetivo en sí lo dice todo. Estrategias de ciberseguridad, contramedidas legales e incluso herramientas y técnicas defensivas. Ventisca de Medianoche fue después del libro de jugadas utilizado para cazarlos.
Algo no está bien
Sí, la última violación de seguridad de Microsoft todavía está envuelta en secreto y todavía no sabemos qué tipo de datos quedaron expuestos, pero el gigante tecnológico ha estado plagado de violaciones de este tipo durante los últimos seis meses.
A continuación se presenta un resumen de las violaciones de seguridad de Microsoft más notables reportadas en los últimos 6 meses (julio de 2023 – enero de 2024):
octubre 2023:
- Explotación de día cero de Microsoft Exchange Server: Los actores de amenazas explotaron activamente una vulnerabilidad de día cero en Microsoft Exchange Server, lo que podría afectar a miles de servidores en todo el mundo. Esto llevó a Microsoft a lanzar parches de seguridad de emergencia.
Septiembre 2023:
- Ataque de phishing a Azure Active Directory (AD): Una campaña de phishing tuvo como objetivo las credenciales de Azure AD, lo que podría permitir a los atacantes acceder a recursos confidenciales de la nube, como correos electrónicos y almacenamiento.
- Exposición a la violación de datos de Azure: Una cuenta de Azure Storage mal configurada expuso una gran cantidad de datos pertenecientes a varias organizaciones, incluida información confidencial del cliente.
agosto 2023:
- Microsoft Defender evitando el malware: Se descubrió malware sofisticado que podría eludir la detección del software antivirus Microsoft Defender
- Campaña de phishing de Office 365: Una campaña de phishing a gran escala dirigida a usuarios de Office 365, intentaba robar credenciales de inicio de sesión y acceder a datos confidenciales.
julio 2023:
- Ataque de phishing a equipos de Microsoft: Una campaña de phishing generalizada se hizo pasar por notificaciones de Microsoft Teams para engañar a los usuarios para que revelen información confidencial.
- Fuga de datos de Microsoft Power BI: Una vulnerabilidad en Microsoft Power BI potencialmente permitía el acceso no autorizado a datos confidenciales dentro de los informes.
La irrupción de Midnight Blizzard es una llamada de atención. En los rincones oscuros de Internet, se está gestando un nuevo tipo de guerra cibernética, impulsada por el autodescubrimiento y la manipulación estratégica. Como defensores, debemos mantenernos a la vanguardia, evolucionar nuestros métodos y comprender las motivaciones que impulsan a estos dobles digitales. Esta búsqueda de autoconocimiento ha llegado al ámbito digital y sus consecuencias aún no se han comprendido plenamente.
Pero bueno, al menos es una gran historia.
Crédito de imagen destacada: Rey del amanecer/Unsplash.
Source: La reciente brecha de seguridad de Microsoft tiene una motivación inusual