Hacker. Omicrono
Microsoft avisa: Rusia está realizando un masivo ataque de 'phishing' contra usuarios de todo el mundo
- La firma de Redmond destaca que esta campaña proviene de un grupo directamente relacionado con la inteligencia rusa de Putin.
- Más información: Así aprovechan los hackers la Renta 2023 para engañarte: cuidado con estos correos
Pese a los constantes ataques hacker que han sufrido en la compañía, Microsoft lleva años advirtiendo sobre numerosos ataques hacker que afectan a todos, incluso a usuarios en España. De atacantes que aprovechan ChatGPT hasta un aumento sin precedentes de ciberataques para influir en las elecciones de EEUU. Ahora, los de Redmond han alertado de una gigantesca campaña de correos phishing, dirigida a distintos sectores.
Así lo expone Microsoft en un comunicado, citando al actor de amenazas Midnight Blizzard, un supuesto conjunto de atacantes enemigos que estarían vinculados a las esferas de inteligencia de Rusia. Desde al menos el pasado 22 de octubre, la división de amenazas Microsoft Threat ha detectado que Midnight Blizzard ha estado enviando numerosos correos a miles de objetivos, entre los que se cuentan más de 100 organizaciones distintas.
Si bien estos ataques tienen objetivos claros, están lo suficientemente extendidos como para atacar a usuarios individuales como tales. Microsoft menciona sectores que van desde trabajadores gubernamentales hasta académicos, empleados en el mercado de la defensa, ONGs, y un largo etcétera. En algunos casos, de hecho, los atacantes intentaron hacerse pasar por Microsoft para potenciar sus ataques phishing.
Rusia vuelve a atacar
¿Quiénes son Midnight Blizzard? Estados Unidos y Reino Unido han asegurado que el grupo de atacantes tendría una conexión directa con el Servicio de Inteligencia Exterior de la Federación Rusa (SVR), y cuenta con una lista de objetivos concretos que aglutina una gran cantidad de gobiernos, ONGs, proveedores de servicios TI y entidades diplomáticas. No obstante, su foco está en la inteligencia.
En palabras de Microsoft, Midnight Blizzard desea "recopilar inteligencia a través de un espionaje prolongado y dedicado a intereses extranjeros que se remonta a principios de 2018". Su abanico de métodos también es tremendamente diverso; phishing selectivo, robo de credenciales, ataques a cadenas de suministro y por supuesto suplantación de identidad para acceder a clientes y entidades relacionadas con sus objetivos.
Oficinas de Microsoft en Múnich (Alemania).
La campaña en cuestión del 22 de octubre comenzó con el envío de correos electrónicos de phishing a una cantidad de usuarios que se cuenta por miles, pertenecientes a más de un centenar de organizaciones. En ellos los hackers usan métodos relacionados con la ingeniería social, haciéndose pasar por compañías que van desde la propia Microsoft hasta Amazon, a través de sus Amazon Web Services.
La actividad afecta especialmente a Europa como tal, Japón, Australia y Reino Unido, siendo este último país uno de los que más están sufriendo la campaña de phishing rusa. La clave de esta campaña, por otro lado, está en el uso de direcciones de correo reales pertenecientes a organizaciones legítimas, que los atacantes robaron en ataques exitosos perpetrados anteriormente.
En estos correos se adjuntan archivos con extensión .RDP, también conocidos como archivos de configuración de Protocolo de Escritorio Remoto, que conectan el equipo infectado a un servidor controlado por Midnight Blizzard y así acceder a ellos. El malware asigna "de manera bidireccional" los propios recursos del equipo haciendo objetivo al servidor, robando datos de todo tipo.
No es algo baladí en absoluto. Microsoft explica que los recursos robados incluyen discos duros lógicos, contenido de impresoras, información de dispositivos periféricos conectados, el contenido del portapapeles e incluso datos sobre métodos de autenticación para sistemas operativos Windows. Con tal nivel de acceso, el atacante puede llegar a instalar malware en las unidades locales y en los recursos compartidos de red asignados, así como instalar troyanos remotos RAT, entre otras cuestiones.
![](["https:\/\/s1.elespanol.com\/2019\/12\/31\/actualidad\/actualidad_456214996_141472783_320x180.jpg"])
Lo más llamativo está en el propio archivo RDP de los correos, que están firmados con un certificado LetsEncrypt. Tal y como detallan los de Redmond, el archivo malicioso "contenía varias configuraciones confidenciales" que podrían resultar en una filtración o exposición de información muy llamativa. Mediante dicha conexión, el atacante puede incluso obtener datos de dispositivos de punto de servicio POS e información sobre las unidades de red conectadas.
