Español 
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Mitigación para China
11 de julio de 2023 | Charlie Bell, vicepresidente ejecutivo de seguridad de Microsoft
Microsoft y otros en la industria han pedido transparencia en lo que respecta a incidentes cibernéticos para que podamos aprender y mejorar. Como hemos dicho anteriormente, no podemos ignorar el aumento exponencial y la frecuencia de los ataques sofisticados. Los crecientes desafíos que enfrentamos no hacen más que reforzar nuestro compromiso con un mayor intercambio de información y asociaciones industriales.
Hoy, publicamos detalles de la actividad de un actor con sede en China que Microsoft está rastreando como Storm-0558 y que obtuvo acceso a cuentas de correo electrónico que afectan a aproximadamente 25 organizaciones, incluidas agencias gubernamentales, así como cuentas de consumidores relacionadas de personas probablemente asociadas con estas organizaciones. Hemos estado trabajando con los clientes afectados y notificándoles antes de hacer públicos más detalles. En esta etapa, y en coordinación con los clientes, compartimos los detalles del incidente y el actor de la amenaza para beneficiar a la industria.
Los ciberataques siguen aumentando en sofisticación y frecuencia
Los actores de amenazas motivados continúan centrándose en comprometer los sistemas de TI. Estos adversarios con buenos recursos no hacen distinción entre intentar comprometer cuentas comerciales o personales asociadas con organizaciones objetivo, ya que solo se necesita un inicio de sesión exitoso en la cuenta comprometida para obtener acceso persistente, exfiltrar información y lograr objetivos de espionaje. El actor de amenazas que Microsoft vincula con este incidente es un adversario con sede en China al que Microsoft llama Storm-0558. Evaluamos que este adversario se centra en el espionaje, como obtener acceso a sistemas de correo electrónico para recopilar inteligencia. Este tipo de adversario motivado por el espionaje busca abusar de las credenciales y obtener acceso a datos que residen en sistemas confidenciales.
Mitigación completada para todos los clientes.
El 16 de junio de 2023, basándose en la información proporcionada por los clientes, Microsoft inició una investigación sobre actividad anómala de correo. Durante las siguientes semanas, nuestra investigación reveló que a partir del 15 de mayo de 2023, Storm-0558 obtuvo acceso a datos de correo electrónico de aproximadamente 25 organizaciones y a una pequeña cantidad de cuentas de consumidores relacionadas de personas probablemente asociadas con estas organizaciones. Lo hicieron utilizando tokens de autenticación falsificados para acceder al correo electrónico del usuario utilizando una clave de firma de consumidor de cuenta Microsoft (MSA) adquirida. Microsoft ha completado la mitigación de este ataque para todos los clientes.
Agregamos detecciones automatizadas sustanciales para indicadores conocidos de compromiso asociados con este ataque para reforzar las defensas y los entornos de los clientes, y no hemos encontrado evidencia de acceso adicional.
La respuesta coordinada es clave para una rápida mitigación
La investigación en tiempo real y la colaboración de Microsoft con los clientes nos permiten aplicar protecciones en la nube de Microsoft para proteger a nuestros clientes de los intentos de intrusión de Storm-0558. Hemos mitigado el ataque y nos hemos puesto en contacto con los clientes afectados. También nos hemos asociado con agencias gubernamentales relevantes como DHS CISA. Estamos agradecidos de que ellos y otros estén trabajando con nosotros para ayudar a proteger a los clientes afectados y abordar el problema. Agradecemos a nuestra comunidad por una respuesta rápida, fuerte y coordinada.
Puede encontrar más detalles para apoyar a nuestros clientes y a la comunidad de defensores aquí.
La responsabilidad comienza con nosotros
La responsabilidad comienza aquí en Microsoft. Seguimos firmes en nuestro compromiso de mantener seguros a nuestros clientes. Nos autoevaluamos continuamente, aprendemos de los incidentes y fortalecemos nuestras plataformas de identidad/acceso para gestionar los riesgos cambiantes en torno a claves y tokens.
Necesitamos seguir ampliando los límites de la seguridad para estar preparados para cualquier cosa que se nos presente. Continuaremos trabajando con nuestros clientes y la comunidad para compartir información y fortalecer nuestras defensas colectivas.