Malwarebytes, un desarrollador norteamericano de soluciones de seguridad de la información, es el Víctima confirmada más reciente del ataque masivo a la cadena de suministro de SolarWinds. Según la compañía, Microsoft ha identificado “actividad sospechosa” en Office 365 por Malwarebytes, que incluye acceso a correos electrónicos internos.
Según Malwarebytes, Microsoft ha advertido a la empresa sobre actividad sospechosa de una aplicación de terceros en Microsoft Office 365 de Malwarebytes el 15 de diciembre del año pasado.
Después de la notificación, la empresa, en asociación con Microsoft, comenzó a investigar el caso. “Llevamos a cabo una investigación exhaustiva de nuestros entornos y ubicaciones en la nube para detectar cualquier actividad relacionada con las llamadas a la API que activaron la alerta inicial”, escribe Marcin Kleczynski, director ejecutivo de la empresa.
La investigación de Malwarebytes encontró que sus correos electrónicos han sido comprometidos por ciberdelincuentes con un alto grado de acceso privilegiado a las infraestructuras de Office 365 y Azure Active Directory. “La investigación indica que los atacantes aprovecharon un producto de protección de correo electrónico inactivo en nuestro inquilino de Office 365 que permitió el acceso a un subconjunto limitado de correos electrónicos internos de la empresa“, continuará.
Ataque de ramificación
Malwarebytes argumenta que la invasión no está relacionada con el ataque a la cadena de suministro de SolarWinds, como la empresa no utiliza ningún producto o solución SolarWinds. Sin embargo, el ataque está relacionado indirectamente, ya que Microsoft fue una de las víctimas directas del ataque a SolarWinds.
“Aunque Malwarebytes no utiliza SolarWinds, nosotros, como muchas otras empresas, Recientemente fuimos atacados por el mismo actor de amenazas […] No utilizamos los servicios en la nube de Azure en nuestros entornos de producción ”, justifica el CEO.
Es decir, los ciberdelincuentes (posiblemente vinculados al gobierno ruso) atacaron la cadena de suministro de SolarWinds y, por lo tanto, han obtenido acceso al código fuente de Microsoft Office 365. Con Office 365 en la mano, atacaron a los clientes de la herramienta, como es el caso de Malwarebytes.
El ataque es muy similar a la invasión de miles de correos electrónicos internos del Departamento de Justicia de los Estados Unidos (DoJ), que también tenía sus correos electrónicos comprometidos después de que los ciberdelincuentes obtuvieran acceso a los sistemas Office 365.
Malwarebytes garantiza que sus productos y servicios no se han visto afectados. “Nuestros sistemas internos no mostró evidencia de acceso no autorizado o compromiso en ningún entorno local y de producción. Nuestro software sigue siendo seguro para su uso ”, explica Kleczynski.
Fuentes: Malwarebytes; The Hacker News.
See the original post at: https://thehack.com.br/malwarebytes-tem-e-mails-internos-comprometidos-apos-ataque-a-solarwinds/?rand=48889
