Cuando la empresa de seguridad Malwarebytes anunció la semana pasada que había sido atacada por el mismo atacante que comprometió el software Orion de SolarWinds, señaló que el ataque no utilizó SolarWinds en sí. Según Malwarebytes, el atacante había utilizado “otro vector de intrusión” para obtener acceso a un subconjunto limitado de correos electrónicos de la empresa.

Brandon Wales, director interino de la Agencia de Infraestructura y Ciberseguridad de los EE. UU. (CISA), dijo que casi un tercio de las organizaciones atacadas no tenían conexión directa con SolarWinds.

[The attackers] obtuvo acceso a sus objetivos de diversas formas. Este adversario ha sido creativo … es absolutamente correcto que esta campaña no debe considerarse como la campaña SolarWinds.

Muchos de los ataques ganaron puntos de apoyo iniciales al pulverización de contraseña comprometer cuentas de correo electrónico individuales en organizaciones específicas. Una vez que los atacantes tuvieron ese punto de apoyo inicial, utilizaron una variedad de complejos ataques de autenticación y escalada de privilegios para aprovechar las fallas en los servicios en la nube de Microsoft. Otro de los objetivos de Advanced Persistent Threat (APT), la firma de seguridad CrowdStrike, dijo que el atacante intentó sin éxito leer su correo electrónico aprovechando una cuenta comprometida de un revendedor de Microsoft con el que la firma había trabajado.

De acuerdo a El periodico de Wall Street, SolarWinds ahora está investigando la posibilidad de que estos defectos de Microsoft fueran el primer vector de APT en su propia organización. En diciembre, Microsoft dijo que la APT en cuestión había accedido a su propia red corporativa y había visto el código fuente interno, pero que no encontró “indicios de que nuestros sistemas fueran utilizados para atacar a otros”. En ese momento, Microsoft había identificado más de 40 ataques a sus clientes, un número que ha aumentado desde entonces.

Vasu Jakkal, vicepresidente corporativo de seguridad, cumplimiento e identidad de Microsoft, dijo ZDNet que la campaña “SolarWinds” no es una emergencia aislada sino la nueva normalidad, diciendo: “Estos ataques seguirán siendo más sofisticados. Así que deberíamos esperar eso. No es el primero ni el último. Este no es un valor atípico. Esta será la norma “.

Cuando la empresa de seguridad Malwarebytes anunció la semana pasada que había sido atacada por el mismo atacante que comprometió el software Orion de SolarWinds, señaló que el ataque no utilizó SolarWinds en sí. Según Malwarebytes, el atacante había utilizado “otro vector de intrusión” para obtener acceso a un subconjunto limitado de correos electrónicos de la empresa.

Brandon Wales, director interino de la Agencia de Infraestructura y Ciberseguridad de los EE. UU. (CISA), dijo que casi un tercio de las organizaciones atacadas no tenían conexión directa con SolarWinds.

[The attackers] obtuvo acceso a sus objetivos de diversas formas. Este adversario ha sido creativo … es absolutamente correcto que esta campaña no debe considerarse como la campaña SolarWinds.

Muchos de los ataques ganaron puntos de apoyo iniciales al pulverización de contraseña comprometer cuentas de correo electrónico individuales en organizaciones específicas. Una vez que los atacantes tuvieron ese punto de apoyo inicial, utilizaron una variedad de complejos ataques de autenticación y escalada de privilegios para aprovechar las fallas en los servicios en la nube de Microsoft. Otro de los objetivos de Advanced Persistent Threat (APT), la firma de seguridad CrowdStrike, dijo que el atacante intentó sin éxito leer su correo electrónico aprovechando una cuenta comprometida de un revendedor de Microsoft con el que la firma había trabajado.

De acuerdo a El periodico de Wall Street, SolarWinds ahora está investigando la posibilidad de que estos defectos de Microsoft fueran el primer vector de APT en su propia organización. En diciembre, Microsoft dijo que la APT en cuestión había accedido a su propia red corporativa y había visto el código fuente interno, pero que no encontró “indicios de que nuestros sistemas fueran utilizados para atacar a otros”. En ese momento, Microsoft había identificado más de 40 ataques a sus clientes, un número que ha aumentado desde entonces.

Vasu Jakkal, vicepresidente corporativo de seguridad, cumplimiento e identidad de Microsoft, dijo ZDNet que la campaña “SolarWinds” no es una emergencia aislada sino la nueva normalidad, diciendo: “Estos ataques seguirán siendo más sofisticados. Así que deberíamos esperar eso. No es el primero ni el último. Este no es un valor atípico. Esta será la norma “.