Centenares de cuentas de Azure, el servicio en la nube de Microsoft, se habrían visto comprometidas en una brecha de seguridad que ha expuesto datos críticos de sus usuarios. El ciberataque, que ha afectado a multitud de entornos, tuvo como objetivo a altos ejecutivos de grandes empresas.
Según la empresa de ciberseguridad Proofpoint, el hackeo utiliza la misma campaña maliciosa detectada en noviembre de 2023, que integra métodos de robo de credenciales mediante phishing y de toma de control de cuentas en la nube (CTO). Esto ayudaría a los atacantes a obtener acceso a OfficeHome y, al mismo tiempo, a las aplicaciones de Microsoft 365.
Los autores del hackeo habrían empleado servicios proxy para eludir las restricciones geográficas y enmascarar su verdadera ubicación. Para llevar a cabo el ataque, los ciberdelincuentes incrustaron enlaces en los documentos que redirigían a los usuarios a webs de phishing. Estos enlaces solían tener como texto ancla “Ver documento”, lo que no levantaba sospechas.
El ataque se planeó meticulosamente y se dirigió tanto a empleados de nivel medio como superior, aunque se vieron comprometidas más cuentas pertenecientes a los primeros. Según Proofpoint, puestos como directores de ventas, directores de cuentas, directores financieros, vicepresidentes de operaciones, directores financieros, presidentes y CEO fueron los objetivos más comunes. Esto permitió a los atacantes acceder a la información a través de los niveles y dominios de las organizaciones.
En este tipo de ataques, una vez que la cuenta se ve comprometida, los ciberdelincuentes despliegan su propio MFA (autenticación multifactor) para prolongar el acceso, por ejemplo añadiendo un número de móvil alternativo o configurando una app de autenticación para que el usuario no pueda recuperar el acceso. Además, los atacantes eliminan todas las pruebas de actividad sospechosa para borrar sus huellas.
El objetivo de estos ciberataques es el robo de datos y la comisión de fraudes financieros. Aunque por ahora no hay pruebas claras para identificar a los autores de los ataque, se cree que estos se originaron en Rusia y Nigeria, basándose en el uso de ISP de línea fija locales de estas regiones.
