Probablemente hayas oído hablar sobre Nobelium y los ciberataques producidos el pasado 2020 a SolarWinds, pero sabemos ¿Quiénes son exactamente? y ¿Cuáles son sus objetivos? En este artículo te contamos su origen y qué acciones está llevando a cabo Microsoft para garantizar la seguridad de sus servicios.
¿Qué es Nobelium?
El término de Nobelium fue acuñado por Microsoft para denominar a los grupos de ciberdelincuentes vinculados a Rusia que el pasado 2020 devastaron con múltiples ataques masivos la cadena de suministro del desarrollador de software SolarWinds. Tal fue su magnitud, que además de afectar a más de 320.000 empresas se han continuado perpetuando ataques a múltiples organizaciones gubernamentales, ONGs y otros organismos hasta la fecha.
El más reciente se ha identificado hace tan sólo unos días por parte del Centro de Inteligencia de amenazas de Microsoft (MSTIC), en el que se detectaron técnicas similares a las empleadas en el caso de SolarWinds para obtener un acceso directo a los servicios cloud utilizados por las cadenas de suministro y proveedores de servicios IT globales, a las que otras organizaciones les han proporcionado acceso administrativo o privilegiado.
¿Cuál es su modus operandi?
Según las investigaciones desarrolladas por Microsoft en colaboración con las autoridades y comunidades de seguridad gubernamentales estadounidenses y europeas para coordinar y ejecutar contramedidas, se cree que Nobelium intenta aprovechar cualquier acceso directo que los revendedores puedan tener a los sistemas de IT de los clientes, para después hacerse pasar por el socio tecnológico de confianza con el fin de conseguir acceso a estos.
Se cree incluso que este conjunto de ciber ataques no tienen un propósito inmediato, sino que por el contrario, buscan una estrategia de vigilancia y un impacto a largo plazo para posibles objetivos de este grupo de ciberdelincuentes.
¿Cómo son estos ataques?
Todos estos ataques han sido en su mayoría llevados a cabo por un conjunto de herramientas y acciones precisas, no son el resultado de una vulnerabilidad de seguridad de un producto. Incluyen un malware sofisticado, aerosoles de contraseñas, ataques a la cadena de suministro, robos de tokens, abuso de APIs e incluso, spear phishing con las que exponer la seguridad de las cuentas de usuario.
¿Qué medidas prioritarias puede realizar una organización para mejorar su seguridad?
Microsoft ha publicado recientemente una guía técnica con el propósito de ayudar a todas las organizaciones a protegerse contra las ciber amenazas de Nobelium. No obstante, desde Intelequia creemos que estos 5 puntos siempre deben ser claves ante cualquier protocolo de seguridad corporativo:
1) Entrenar la conciencia colectiva ante las ciber amenazas. El punto más importante es saber estar preparado y en alerta, todos los miembros del equipo deben saber reconocer errores comunes y reportar a sus equipos de seguridad, los posibles ataques que puedan vulnerar la accesibilidad de la información.
2) Disponer de un plan de crisis. Ante una situación de alerta, debe existir un protocolo de actuación que garantice la seguridad de toda la información y que acciones deban realizarse de forma estricta para su actuación.
3) Restringir el acceso a los dispositivos y equipos corporativos. El acceso a la información debe realizarse siempre en un entorno seguro y de fácil accesibilidad para los equipos de seguridad, evitando que los empleados puedan hacer uso de sus cuentas o equipos personales para acceder a los recursos corporativos y que puedan afectar la integridad de estos.
4) Realizar copias de seguridad y disponer de un plan de recuperación ante desastres. El acceso a los datos e información de una organización supone uno de los puntos más críticos si no se dispone de herramientas que puedan garantizar su obtención en esta serie de casos.
5) No deshabilitar las medidas de protección bajo ningún concepto (antivirus, antimalware) ya que puede generar graves fallas de seguridad.
¿Qué herramientas de seguridad de Microsoft son más efectivas?
Microsoft dispone de un subconjunto de servicios y soluciones que permiten blindar la seguridad de nuestros datos e información en todos nuestros dispositivos, algunas de sus herramientas principales son:
De Seguridad y cumplimiento
- Azure Active Directory: Permite proveer de una solución para securizar los accesos no autorizados a los diferentes dispositivos de la organización.
Tecnología SIEM
- Azure Sentinel: Ofrece un análisis de seguridad inteligente frente a todas las amenazas de la empresa, de forma que obtendrás una única solución que busque y detecte cualquier incidencia de forma proactiva, genere alertas y de respuesta inmediata a estas.
Centraliza la seguridad de tus aplicaciones
- Microsoft 365 Defender: Garantiza la operatividad de tus equipos de trabajo colaborativo al disponer de solución automatizada que detecta, recopila, alerta y da respuesta contra las amenazas de forma correctiva permitiendo a tu personal de seguridad coordinar fácilmente el tratamiento de cualquier incidente de seguridad. De hecho, Hace unas semanas os hablábamos de la actualización que Microsoft Defender había incluido para reforzar la seguridad contra los mails fraudulentos.