Conecta con nosotros

Noticias

Malwarebytes, otra víctima de los atacantes de SolarWinds

Publicado

el

Malwarebytes

Malwarebytes fue atacado por el mismo grupo que asaltó SolarWinds (se sospecha de  UNC2452 o Dark Halo al que se relaciona con el servicio de inteligencia ruso), según ha explicado la firma de seguridad en una publicación en su blog.

El caso de SolarWinds fue el peor incidente de 2020 en seguridad informática y Malwarebytes se une a una lista cada vez más amplia de compañías afectadas, como Microsoft, FireEye, Cisco, Intel, VMare o NVIDIA, y otras que no se han hecho públicas, pero que se cree existen ya que el software de SolarWinds comprometido era usado por una buena parte de la lista Fortune 500, proveedores de telecomunicaciones y diversas agencias de Estados Unidos.

Malwarebytes explica que no usa soluciones de SolarWinds, pero fue atacada a través de otro vector de intrusión que aprovechó las aplicaciones que tenían acceso privilegiado a Microsoft Office 365 y Azure. Según la firma de seguridad, los atacantes lograron acceder a «un subconjunto limitado de correos electrónicos internos de la empresa».

El ataque fue descubierto después que Microsoft notificara a Malwarebytes de una actividad sospechosa en una aplicación de protección de correo electrónico inactiva dentro de la suite Office 365. Los ciberdelincuentes agregaron un certificado autofirmado con credenciales a la cuenta de servicio principal y luego lo usaron para realizar llamadas a la API y llegar a los correos electrónicos a través de Microsoft Graph.

Malwarebytes es seguro

El CEO de la firma de seguridad dijo que se había realizado una investigación interna completa para determinar hasta dónde se introdujeron los asaltantes. También realizaron una auditoría exhaustiva de todos sus productos y su código fuente, incluyendo ingeniería inversa, en la búsqueda de signos de «ataques a la cadena de suministro», utilizado para comprometer el software de SolarWinds.

La investigación no encontró ningún signo de acceso no autorizado o compromiso, salvo el acceso al mencionado subconjunto de correos electrónicos internos corporativos aprovechando una debilidad de Azure Active Directory. Ello, junto con el hecho de que ninguno de sus sistemas internos se viera comprometido, ha llevado a la empresa a declarar que su software sigue siendo seguro de usar.

Malwarebytes

Sin embargo, el caso de Malwarebytes revela un nuevo vector de ataque de esta campaña de amplio alcance y eleva a cuatro las firmas de ciberseguridad afectadas.

En una información relacionada, FireEye ha publicado un script de auditoría denominado Azure AD Investigator, que dice que puede ayudar a las empresas a buscar en sus inquilinos de Microsoft 365 indicadores de algunas de las técnicas utilizadas por los piratas informáticos de SolarWinds.

Lo más leído