Los representantes de la firma de seguridad email Mimecast han confirmado que los hackers responsables del ciberataque a SolarWinds lograron acceder a sus sistemas informáticos y descargar el código fuente de un número reducido de sus repositorios. Esto habría sido posible gracias al uso del backdoor Sunburst, el malware utilizado por los hackers de SolarWinds que afectó a cerca de 18 mil clientes que empleaban el software de monitoreo SolarWinds Orion.
A través de un comunicado publicado hace unas horas, la compañía informó: “Usando este punto de entrada los hackers maliciosos lograron acceder a algunos certificados emitidos por Mimecast, además de comprometer información relacionada con la conexión del servidor del cliente.”
“El hacker malicioso habría accedido a un reducido subconjunto de direcciones email y otros datos de contacto, además de algunas credenciales de acceso protegidas con hashing, además de acceder y descargar un número limitado de nuestros repositorios de código fuente, aunque podemos afirmar que no hay evidencia de alteraciones arbitrarias en estos recursos”, agrega la compañía.
El reporte asegura que el código fuente extraído por los actores de amenazas está incompleto y es imposible desarrollar versiones funcionales a partir de la información robada: “El análisis forense indica que el proceso de construcción de nuestros ejecutables no se vieron alterados.”
Como recordará, los hackers responsables del ataque a la cadena de suministro de SolarWinds lograron comprometer la seguridad de un número reducido de usuarios de Microsoft 365 después de robar un certificado emitido por la compañía con el fin de proteger las tareas de sincronización de Microsoft 365.
Si bien Mimecast no reveló el número exacto de clientes que usaron el certificado robado, el comunicado hace referencia a un 105 del total de usuarios afectados; dado que Mimecast es empleado por alrededor de 36 mil usuarios, el total de implementaciones afectadas podría acercarse a los 3 mil 600.
La investigación interna de Mimecast reveló algunos de los métodos de acceso empleados por los hackers, los cuales fueron clausurados después de su detección. Hasta el momento no se ha encontrado evidencia que sugiera que los actores de amenazas lograron acceder al contenido de los correos electrónicos de los usuarios afectados. Cabe recordar que hace un par de semanas Microsoft también confirmó que los hackers de SolarWinds también lograron descargar fragmentos incompletos del código fuente de implementaciones como Azure o Exchange, aunque el material comprometido tampoco es suficiente para desarrollar versiones funcionales para ataques posteriores.
Entre las medidas de seguridad establecidas por Mimecast para mitigar los riesgos derivados de este incidente se encuentran:
- Rotación de todos los certificados y claves de cifrado afectadas
- Fortalecimiento del algoritmo de cifrado actualizado para todas las credenciales almacenadas
- Implementación de protocolos de supervisión mejorados para todos los certificados y claves de cifrado
- Implementación de funciones adicionales de monitoreo de seguridad del host en toda la infraestructura
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad