Microsoft ha rilevato una nuova attività da parte di Nobelium, il gruppo di cybercriminali che ha colpito numerosi clienti di SolarWinds. L’indagine da parte del Microsoft Threat Intelligence Center è ancora in corso, quindi i dettagli sono scarsi. Fortunatamente l’attacco non ha avuto molto successo (solo tre le vittime).
Microsoft blocca il nuovo attacco
Nobelium (noto anche come Cozy Bear o APT29) è stato considerato molto vicino all’intelligence russa, ma il Cremlino ha più volte smentito. Il Presidente Biden ha annunciato sanzioni e espulso 10 diplomatici russi da Washington, in seguito all’attacco SolarWinds. Recentemente lo stesso gruppo ha messo in atto una campagna di spear phishing, sfruttando una serie di tool in successione.
Microsoft ha comunicato che per il nuovo attacco, Nobelium ha utilizzato tecniche di brute-force e password spray per accedere ai suoi tool di supporto clienti. I target principali sono state aziende IT, seguite da governi e organizzazioni non governative, ma al momento solo tre sistemi sono stati compromessi.
Durante le indagini preliminari, Microsoft ha individuato un malware sul computer di un dipendente del servizio di assistenza. Questo malware è stato usato per rubare alcune informazioni di un piccolo numero di clienti. I dati sono stati successivamente usati per attacchi mirati. L’azienda di Redmond ha prontamente bloccato l’accesso al malware e messo in sicurezza il computer.
Tutti i clienti sono stati subito informati dell’accaduto. Microsoft consiglia ancora una volta di cambiare le password e attivare l’autenticazione in due fattori. Nei prossimi giorni dovrebbero essere divulgati ulteriori dettagli.