Un grupo ruso también entra en varios correos corporativos de HPE
La compañía dice que el actor de amenazas, que también se cree que está detrás de un reciente ataque a Microsoft, accedió a un "pequeño porcentaje" de los buzones de correo corporativos.
Un actor de amenazas con sede en Rusia conocido como Cozy bear o Midnight Blizzard también ha accedido a algunos de los buzones de correo corporativo de HPE, según ha informado la propia compañía en una presentación ante la Comisión de Bolsa y Valores (SEC, de sus siglas inglesas).
“Tras nuestra investigación, creemos que el grupo accedió y exfiltró datos a partir de mayo de 2023 de un pequeño porcentaje de buzones de correo de HPE que pertenecían a gente de nuestras áreas de ciberseguridad, comercialización, negocios y otros funciones”, reportó. La tecnológica ha señalado que, después de ser notificada el pasado mes de junio sobre acceso no autorizado a archivos de SharePoint, llevó a cabo una investigación con expertos externos en ciberseguridad y tomó medidas de contención. “Determinamos que dicha actividad no tuvo impacto material en la compañía”, determinó.
Conexión con el ataque de Microsoft
Esta intromisión en los buzones de correo de HPE se produce días después de que Microsoft revelara que las bandejas de entrada de sus altos directivos habían sido atacadas por un grupo de ciberdelincuentes ruso que se cree que es Midnight Blizzard.
No se sabe si esto es parte de una campaña coordinada y dirigida a gigantes tecnológicos estadounidenses, o si fueron facciones separadas dentro de Midnight Blizzrd o Cozy Bear trabajando en misiones únicas. “A partir de finales de noviembre de 2023, utilizó un ataque de pulverización de contraseñas para comprometer una cuenta de inquilino de prueba heredada que no era de producción y hacerse un hueco, y luego utilizó los permisos de la cuenta para acceder a un porcentaje muy pequeño de cuentas de correo electrónico corporativas de Microsoft, incluidos los miembros de nuestro equipo de liderazgo senior y empleados en nuestras funciones de ciberseguridad, legales y otras, y exfiltró algunos correos y documentos adjuntos”, dijo Microsoft en un comunicado.
La pulverización de contraseñas es un ciberataque de fuerza bruta en el que los ciberdelincuentes utilizan una contraseña común en muchas cuentas para eludir las políticas de bloqueo. “El reciente incidente en Microsoft pone de relieve dos desafíos: nadie es inmune y, como organización, llevará tiempo implementar soluciones”, expresa Ravi Srinivasan, director ejecutivo de Votiro. “Cada vez que se detecta una amenaza, revelarla es muy costosa y lleva mucho tiempo”.
La autenticación de doble factor mitiga los ataques de pulverización de credenciales al sumar una capa adicional de seguridad más allá de la contraseña. “Este fue un tipo de ataque bastante simple, algo que podría haberse evitado mediante la autenticación de dos factores”, dijo a la CNBC Alex Stamos, ejecutivo de SentinelOne y exCSO de Facebook.
