Mimecast vincula la brecha de seguridad con los piratas informáticos de SolarWinds

Mimecast vincula la brecha de seguridad con los piratas informáticos de SolarWinds

La compañía de seguridad de correo electrónico Mimecast ha confirmado hoy que el actor de amenazas detrás del ataque a la cadena de suministro de SolarWinds está detrás de la violación de seguridad que reveló a principios de este mes.

«Nuestra investigación ahora ha confirmado que este incidente está relacionado con el compromiso del software SolarWinds Orion y fue perpetrado por el mismo actor de amenazas sofisticado», Mimecast dijo.

«Nuestra investigación también mostró que el actor de la amenaza accedió, y potencialmente exfiltró, ciertas credenciales de cuentas de servicio encriptadas creadas por clientes alojados en los Estados Unidos y el Reino Unido.

«Estas credenciales establecen conexiones entre los inquilinos de Mimecast y los servicios en las instalaciones y en la nube, que incluyen LDAP, Azure Active Directory, Exchange Web Services, registro en diario de POP3 y rutas de entrega autenticadas por SMTP».

La compañía agregó que no hay evidencia de que alguna de las credenciales encriptadas a las que se accedió durante la violación haya sido desencriptada o mal utilizada.

Sin embargo, se recomienda a los clientes de Mimecast de Estados Unidos y Reino Unido que restablezcan las credenciales para evitar posibles ataques que abusen de ellas.

El actor de amenazas que coordinó los ataques a la cadena de suministro de SolarWinds se rastrea como StellarParticle (CrowdStrike), UNC2452 (Ojo de Fuego), Tormenta solar (Unidad 42 de Palo Alto), y Halo oscuro (Volexidad).

Si bien su identidad sigue siendo desconocida, una declaración conjunta emitida por el FBI, CISA, ODNI y la NSA dice que probablemente sea un grupo de Amenazas Persistentes Avanzadas (APT) respaldado por Rusia.

Kaspersky también estableció una conexión entre el grupo de piratería ruso Turla y los piratas informáticos SolarWinds después de encontrar superposiciones de funciones entre la puerta trasera Sunburst y la puerta trasera Kazuar vinculada a Turla en el pasado.

Ataque descubierto después de una notificación de Microsoft

Microsoft alertó a la empresa de que algunos de sus certificados autoemitidos que los clientes utilizan para autenticarse en un subconjunto de productos de Mimecast estaban comprometidos.

Si bien no se reveló el número exacto de clientes afectados que utilizaron los certificados robados para asegurar la conexión a la nube de Microsoft 365, Mimecast dijo que aproximadamente el 10 por ciento de sus clientes «usan esta conexión».

Los productos de Mimecast son utilizados actualmente por más de 36.000 clientes, y el 10% de ellos asciende a aproximadamente 3.600 clientes afectados.

La compañía encontró evidencia de que «un número bajo de un solo dígito de los inquilinos de M365 de nuestros clientes fueron atacados» por los piratas informáticos de SolarWinds.

Mimecast se puso en contacto con estos clientes para solucionar y abordar este problema y, según la actualización de hoy, «[t]l gran mayoría de estos clientes han tomado esta acción y Microsoft ahora ha desactivado el uso de las claves de conexión anteriores para todos los clientes de Mimecast afectados «.

Hace una semana, la firma de ciberseguridad Malwarebytes también confirmó que los piratas informáticos de SolarWinds pudieron acceder a algunos correos electrónicos internos de la empresa.

Escrito por Juan Delgado

Fan de los juegos FPS, pero sin duda, fanático de Call Of Duty. Cualquier noticia y rumor acerca del juego es más que probable que ya lo sepa el antes que nadie

Loading…

0
ataques de phishing
Los ataques de phishing dirigidos afectan a ejecutivos de empresas de alto rango
Granja lechera
El gigante minorista panasiático Dairy Farm sufre un ataque de ransomware REvil
Back to Top

Send this to a friend