Los piratas informáticos afiliados al estado ruso están realizando ataques de robo de credenciales en mayor medida últimamente.
Microsoft ha detectado que se está dado un incremento considerable en estos ciberataques llevaos a cabo por el grupo de amenazas persistentes avanzadas APT29, también llamado Cozy Bear, Nobelium o Minight Blizzard, según la propia firma de Redmond.
La compañía tecnológica no ha especificado contra qué países se estaba dirigiendo esta campaña. Sin embargo, Nobelium se ha dirigido contra ministerios de relaciones exteriores y entidades diplomáticas de países que pertenecen a la OTAN y la Uniión Europea.
La firma de las ventanas asegura que estos cibermalos están usando una variedad de técnicas de "rociado de contraseñas, fuerza bruta y robo de tokens".
En la primera, prueban un pequeño conjunto de contraseñas de uso común o fáciles de adivinar en varias cuentas. Los ataques de fuerza bruta suponen intentos masivos para averiguar una contraseña. Por su parte, los robos de tokens implican capturar información de autenticación de los usuarios.
Sin descanso desde 2020
Nobelium se ha mostrado muy activo en los últimos años para defender los intereses rusos. En la guerra de Ucrania han realizado ciberataques contra el ejército ucraniano y sus partidos políticos, además de contra gobiernos internacionales, ONGs y grupos de expertos.
En 2020 estos ciberdelincuentes fueron los autores del ataque a la cadena de suministro de SolarWinds, que afectó a miles de organizaciones en todo el mundo y ocasionó grandes filtraciones de datos.
No es la primera vez que desde Microsoft advierten contra este grupo APT. Según recuerda The Record Media, en una campaña reciente, la compañía de Redmond observó que los piratas usaban servicios proxy de baja reputación que les permitían enrutar su tráfico de Internet a través de hogares regulares en lugar de entidades comerciales. Esto ayudó a los actores de amenazas a ocultar su dirección IP y ubicación reales.