Cotización de descuento para licencias múltiples
Seguridad informática Una gigantesca botnet china de 130.000 dispositivos ataca...

Una gigantesca botnet china de 130.000 dispositivos ataca cuentas de Microsoft 365

Por Mura en Seguridad informática
Traducir a:
Español

Se ha descubierto que una potente botnet vinculada a China está lanzando ataques de rociado de contraseñas a gran escala contra cuentas de Microsoft 365, lo que pone en grave riesgo a empresas y organizaciones. Según SecurityScorecard, esta botnet está alimentada por la asombrosa cantidad de 130.000 dispositivos comprometidos, lo que la convierte en una de las mayores amenazas cibernéticas de su tipo.

Cómo funciona el ataque

Esta botnet explota los inicios de sesión no interactivos y la autenticación básica, dos puntos débiles en la seguridad de Microsoft 365 que permiten a los atacantes probar credenciales robadas sin activar la autenticación multifactor en muchas configuraciones.

Los inicios de sesión no interactivos suelen utilizarse para la autenticación entre servicios y protocolos heredados como POP, IMAP y SMTP, lo que hace que los equipos de seguridad los examinen menos. La autenticación básica, aunque Microsoft la ha dejado obsoleta, sigue activa en algunos entornos, lo que permite transmitir credenciales en texto sin formato, un objetivo fácil para los piratas informáticos.

La botnet toma nombres de usuario y contraseñas robados, a menudo recopilados por malware de robo de información, y los prueba sistemáticamente en cuentas de Microsoft 365. Si tienen éxito, los atacantes obtienen acceso a datos confidenciales, interrumpen las operaciones comerciales y se mueven lateralmente dentro de una organización.

Por qué es difícil detectar este ataque

Uno de los aspectos más alarmantes de este ataque es su carácter oculto. Dado que los intentos de robo de contraseñas se registran en inicios de sesión no interactivos, muchos equipos de seguridad no controlan estos registros de cerca. Esto permite a los atacantes pasar desapercibidos mientras intentan sistemáticamente entrar en las cuentas.

SecurityScorecard también identificó servidores de comando y control en Estados Unidos, que se comunicaban con 130.000 dispositivos infectados durante un período de cuatro horas. Estos dispositivos, probablemente parte de una red global más grande, permiten a los atacantes escalar sus operaciones rápidamente.

¿Quién está detrás de la botnet?

Si bien el ataque ha sido vinculado a un grupo de amenazas chino, la atribución del mismo sigue siendo una investigación en curso. Sin embargo, esta botnet comparte características con campañas de ciberespionaje chinas identificadas anteriormente.

Cabe destacar que, en octubre de 2024, Microsoft informó que varios actores de amenazas chinos estaban utilizando credenciales robadas de una operación de rociado de contraseñas a gran escala. Esta campaña estaba asociada con redes comprometidas conocidas como CovertNetwork-1658, Xlogin y Quad7.

Cómo proteger su organización

Dado que esta botnet ataca activamente las cuentas de Microsoft 365, las organizaciones deben tomar medidas inmediatas para fortalecer su seguridad:

  • Deshabilite la autenticación básica si aún está habilitada en su entorno.
  • Habilite la autenticación moderna y la autenticación multifactor para todos los usuarios, especialmente para inicios de sesión no interactivos.
  • Supervise periódicamente los registros de inicio de sesión no interactivos para detectar patrones de inicio de sesión inusuales.
  • Utilice contraseñas seguras y únicas para evitar la difusión de contraseñas mediante la implementación de políticas de contraseñas estrictas y la imposición de cambios regulares.
  • Implemente soluciones de seguridad de puntos finales para protegerse contra el malware que roba información y que los piratas informáticos usan para recopilar credenciales.
  • Si es posible, restrinja geográficamente el acceso a las cuentas de Microsoft 365, limitando los inicios de sesión en función de las ubicaciones geográficas.

Reflexiones finales

La botnet que afectó a 130.000 dispositivos y que tiene como blanco a Microsoft 365 es un duro recordatorio de que los ataques basados en contraseñas siguen siendo una de las mayores amenazas a la ciberseguridad en la actualidad. Dado que muchas organizaciones siguen dependiendo de métodos de autenticación obsoletos, los atacantes siguen explotando estas debilidades.

Al proteger de forma proactiva los entornos de Microsoft 365, monitorear la actividad inusual y aplicar políticas de autenticación sólidas, las empresas pueden reducir el riesgo de ser víctimas de este ataque altamente sofisticado.

Cargando...