El reciente ataque a la cadena de suministro que afectó al proveedor multinacional SolarWinds, y a un número desconocido de sus clientes, todavía va a dar mucha tela a los mangos. A medida que continúan las investigaciones, se hace cada vez más claro que los actores maliciosos (supuestamente piratas informáticos de élite financiados por el gobierno ruso) elaboró una compleja maniobra para invadir varias empresas americanas y europeas.
La empresa más nueva en sumarse a la lista de víctimas de la operación es Mimecast, con sede en Londres y que mantiene una plataforma de seguridad basada en la nube para Microsoft 365 (antes conocido como Office 365). La marca confirmó que los atacantes han comprometido uno de sus certificados utilizados para permitir que algunos de sus clientes autentiquen sus cuentas de correo electrónico con las soluciones de protección contra estafas de BEC.
“Aproximadamente el 10% de nuestros clientes utilizan esta conexión. De los que lo hacen Hay indicios de que se apuntó a un número bajo de un solo dígito de los inquilinos de M365 de nuestros clientes.. Ya nos hemos puesto en contacto con estos clientes para corregir el problema ”, explicó Mimecast, dando a entender que el número final de personas afectadas fue inferior a diez. La empresa dejó de utilizar la plataforma SolarWinds después del ataque.
“Como precaución, le pedimos a este subconjunto de clientes de Mimecast que usan esta conexión basada en certificado que elimine inmediatamente la conexión existente en su Microsoft 365 y establezca una nueva conexión basada en certificado utilizando el nuevo certificado que hemos puesto a disposición. Esta acción no afecta el flujo de mensajes entrantes o salientes ni el control de seguridad asociado ”, concluye.
Una pieza más en el rompecabezas
Mientras tanto, los investigadores han detectado otra variante de malware que puede haberse utilizado para comprometer el sistema de construcción y distribución SolarWinds Orion. Llamado Sunspot, el código malicioso se habría utilizado para irrumpir en la infraestructura de la multinacional mucho antes de que pensáramos – Las primeras maniobras tuvieron lugar alrededor de septiembre de 2019.
“Este código altamente sofisticado e innovador fue diseñado para implementar código Sunburst malicioso en la plataforma SolarWinds Orion, sin levantar sospechas en nuestros equipos de desarrollo de software”, explicó Sudhakar Ramakrishna, nuevo CEO de SolarWinds. El descubrimiento de Sunspot solo fue posible gracias a una colaboración con el equipo de expertos de CrowdStrike.
Una vez que haya infectado la máquina de destino, el malware se otorga a sí mismo privilegios de depuración del servidor, secuestra el flujo de trabajo de compilación e intercambia código legítimo por código malicioso, que establece la puerta trasera Sunburst en la plataforma Orion. “Sunspot monitorea los procesos en ejecución de aquellos involucrados en la compilación de Orion y reemplaza uno de los archivos fuente para incluir el código de puerta trasera de Sunburst”, explica el equipo.
Esto significa que Sunspot se diseñó únicamente para este propósito y se probó a fines de 2019 solo para que los agentes maliciosos pudieran probar su capacidad para infiltrarse en los clientes de SolarWinds a través de la puerta trasera.
El gobierno de EE. UU. Anuncia inversiones
Uno de los principales afectados por la maniobra, el gobierno de Estados Unidos parece haber quedado lo suficientemente traumatizado por el incidente hasta el punto de que anunciar nuevas inversiones en ciberseguridad en la esfera pública. A punto de ser juramentado como el nuevo presidente del país, el demócrata Joe Biden prometió, durante un anuncio la semana pasada, hacer de la ciberseguridad una prioridad en su administración.
Esto incluye un presupuesto de $ 10 mil millones para gastos en el área, dentro del cual una subvención de $ 690 millones para la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) para optimizar su capacidad de identificar y responder a incidentes.
“Estoy agradecido de ver al presidente electo presionando por importantes inversiones en seguridad cibernética después de la invasión de SolarWinds, que destacó la necesidad de actuar ahora para proteger a los estadounidenses y nuestros intereses en el ciberespacio”, celebró el congresista Jim Langevin.
Fuente: CSO en línea, Asesor CISO, Lectura oscura
See the original post at: https://thehack.com.br/novo-malware-novas-vitimas-novos-investimentos-atualizacoes-do-caso-solarwinds/?rand=48889
