En un reciente comunicado, Microsoft alertó a sus clientes que algunos de sus correos electrónicos fueron comprometidos por hackers rusos durante un ataque a sus sistemas internos a finales de 2023. Inicialmente, la empresa había indicado que solo sus comunicaciones internas se vieron afectadas.
El 19 de enero de 2024, Microsoft informó sobre un ciberataque a su sistema de correo corporativo. Este ataque fue llevado a cabo por el grupo de hackers afiliado al estado ruso conocido como Midnight Blizzard, también denominado Nobelium. Los atacantes utilizaron una técnica de pulverización de contraseñas para comprometer una cuenta antigua en noviembre de 2023.
Una vez dentro de la red corporativa de Microsoft, los hackers aprovecharon los permisos de la cuenta comprometida para acceder a «un pequeño porcentaje» de cuentas de correo corporativas de Microsoft. Estas cuentas incluían a miembros del equipo de liderazgo senior, así como al personal de los equipos de seguridad y legales de la empresa.
Microsoft señaló que los atacantes parecían enfocados en encontrar y exfiltrar información relacionada con sus actividades maliciosas y la respuesta de la empresa a estas amenazas.
En marzo de 2024, Microsoft notificó a sus clientes sobre intentos de los atacantes de utilizar la información exfiltrada durante el ataque inicial para acceder a más sistemas internos, incluyendo algunos repositorios de código fuente.
Seis meses después del incidente, Microsoft está informando a ciertos usuarios que sus correos electrónicos también fueron comprometidos. Según un comunicado a Bloomberg, la empresa está notificando a los clientes que se comunicaron con las cuentas de correo corporativas afectadas.
Un portavoz de Microsoft declaró a ITPro que están compartiendo los correos comprometidos con los clientes para proporcionarles más detalles sobre el alcance de la información accedida por los atacantes. Reafirmaron su compromiso de mantener informados a los clientes a medida que la situación evoluciona.
Esta revelación se produce en un contexto de intensa escrutinio sobre las prácticas de ciberseguridad de Microsoft, con una serie de incidentes destacados que han cuestionado la postura de seguridad de la empresa. A principios de este año, un informe del Cyber Safety Review Board criticó duramente la respuesta de Microsoft a la intrusión en Exchange del verano de 2023, donde actores respaldados por el estado chino accedieron a los buzones de más de 500 individuos en 22 organizaciones diferentes.
Entre los individuos afectados se encontraban altos funcionarios del gobierno estadounidense, como la Secretaria de Comercio Gina Raimondo y el Embajador en China R. Nicholas Burns. El informe denunció una «cascada de fallos de seguridad» y una «cultura corporativa laxa» que despriorizó las inversiones en seguridad empresarial y la gestión rigurosa de riesgos.
