El grupo detrás de SolarWinds vuelve a la carga con un ataque de correo masivo
En esta ocasión, Nobelium ha amenazado a más de 150 organizaciones, entre las que destacan grupos de desarrollo internacional y trabajo humanitario.
El grupo de ciberdelincuentes Nobelium, que ha estado detrás del incidente de SolarWinds, ha vuelto a la carga con una campaña de phishing sofisticada dirigida unas 3.000 personas en más de 150 organizaciones de 24 países. El grupo lanzó recientemente su ataque desde una cuenta de marketing secuestrada a la compañía USAID. Nobelium, vinculado al Servicio de Inteligencia Exterior de Rusia (SVR) por los gobiernes de Estados Unidos y Reino Unido, tiene un largo historial de ataques al sector público, muchas veces utilizando exploits de día cero para obtener credenciales.
En esta última campaña, detectada por Microsoft, alrededor de una cuarta parte de las organizaciones afectadas estaban relacionadas con el trabajo de desarrollo internacional, humanitario y de derechos humanos. “Las actividades de Nobelium y de actores similares tienen a explotar asuntos que preocupan al país en el que operan”, asegura Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente de Microsoft. “Esta vez, Nobelium se ha centrado organizaciones humanitarias. Este es otro ejemplo de cómo los ciberataques se han convertido en la herramienta elegida por un número creciente de naciones para lograr una amplia variedad de objetivos políticos”.
El pasado mes de enero, tras conocerse el ataque a SolarWinds, se explicó a las compañías cómo detectar y protegerse contra las puertas traseras de Nobelium, por lo que el grupo ha cambiado su enfoque hacia los ataques basados en el correo electrónico. Según Microsoft, estos ciberdelincuentes han utilizado funciones de desarrollo de aplicaciones web y móviles de la plataforma Firebase de Google para alojar una imagen de disco IOS maliciosa y luego crear correos que rastrean información sobre los ordenadores de los usuarios que hacen clic en las URL.
Las campañas de email de esta grupo han continuado durante los meses de febrero, marzo y abril de manera específica y con varias modificaciones en sus técnicas, hasta llegar al pasado mes de mayo en el que el grupo ha lanzado su campaña más grande. Asimismo, se prevé que el grupo pueda realizar actividades adicionales utilizando un conjunto de tácticas en desarrollo y evolución.
