Microsoft ha identificado un nuevo grupo de amenazas cibernéticas, denominado Storm-2372, que ha estado llevando a cabo amenazas cibernéticas dirigidos utilizando phishing contra múltiples sectores desde agosto de 2024. Según Microsoft Threat Intelligence, este actor malicioso se alinea con intereses rusos, basándose en su elección de víctimas y tácticas de ataque.
Sectores Afectados y Áreas Geográficas
Las organizaciones afectadas abarcan una amplia gama de sectores en Europa, América del Norte, África y Oriente Medio:
✅ Gobiernos y entidades gubernamentales
✅ Organizaciones No Gubernamentales (ONG)
✅ Tecnología de la información (TI) y servicios
✅ Defensa y telecomunicaciones
✅ Salud y educación superior
✅ Energía, petróleo y gas
Este tipo de ataques sugiere un enfoque altamente dirigido, en el que los atacantes buscan comprometer infraestructura crítica y datos sensibles.
Tácticas de Storm-2372: Uso de Phishing en Aplicaciones de Mensajería
Los ciberdelincuentes de Storm-2372 emplean un método sofisticado para ganarse la confianza de sus víctimas. Para ello, utilizan aplicaciones de mensajería como:
📲 WhatsApp
📲 Signal
📲 Microsoft Teams
En estas plataformas, el atacante se hace pasar por una figura prominente del sector de la víctima, estableciendo contacto con el objetivo para aumentar su credibilidad.
Cómo Funciona el Phishing de Código de Dispositivo
El método de ataque de Storm-2372 se basa en una técnica de phishing avanzada llamada “phishing de código de dispositivo”, diseñada para capturar credenciales de autenticación sin necesidad de contraseñas.
Pasos del ataque:
1️⃣ Envío de correos electrónicos de phishing
- Los atacantes envían falsas invitaciones de reuniones en Microsoft Teams.
- Los correos incluyen enlaces que redirigen a páginas de autenticación legítimas.
2️⃣ Uso de códigos de autenticación de dispositivo
- La víctima es inducida a ingresar un código de autenticación en una página legítima.
- Este código es generado por el actor de amenazas, quien lo usa para secuestrar la sesión.
3️⃣ Captura de tokens de acceso
- Los atacantes obtienen los tokens de autenticación, acceso y actualización de la víctima.
- Con estos tokens, pueden acceder a cuentas empresariales y datos confidenciales sin requerir la contraseña.
4️⃣ Acceso persistente y movimiento lateral
- Los tokens permiten a los atacantes mantener el acceso mientras sean válidos.
- Envían más mensajes de phishing desde la cuenta comprometida dentro de la organización.
- Utilizan Microsoft Graph para buscar mensajes sensibles en la cuenta hackeada.
Objetivos del Ataque: Robo de Información Sensible
Una vez dentro del sistema de la víctima, Storm-2372 realiza búsquedas masivas de información clave. Según Microsoft, los atacantes utilizan búsquedas por palabras clave en los mensajes internos, priorizando términos como:
🔍 Usuario (username)
🔍 Contraseña (password)
🔍 Administrador (admin)
🔍 Credenciales (credentials)
🔍 Ministerio (ministry)
🔍 Gobierno (gov)
Cualquier mensaje que contenga estas palabras se filtra automáticamente al servidor del atacante, permitiendo el robo de credenciales, información confidencial y acceso a sistemas protegidos.
Impacto y Riesgos del Ataque de Storm-2372
La capacidad de este grupo para comprometer cuentas empresariales sin contraseñas representa una amenaza grave. Los principales riesgos incluyen:
⚠ Acceso no autorizado a cuentas y documentos corporativos.
⚠ Exposición de correos electrónicos y datos internos.
⚠ Ataques en cadena dentro de la organización (movimiento lateral).
⚠ Filtración de credenciales administrativas y de acceso a sistemas.
Medidas de Seguridad para Mitigar el Riesgo
Para protegerse contra Storm-2372 y otros ataques basados en phishing de código de dispositivo, Microsoft recomienda implementar las siguientes mejores prácticas de seguridad:
🔒 Bloquear el flujo de código del dispositivo en los sistemas corporativos.
🔒 Implementar autenticación multifactor (MFA) resistente al phishing, como FIDO2 o claves de seguridad físicas.
🔒 Aplicar el principio de privilegios mínimos para limitar el acceso a recursos críticos.
🔒 Monitorear el uso de tokens de acceso y revocar cualquier sesión sospechosa.
🔒 Capacitar a empleados y usuarios sobre tácticas de phishing avanzadas.
La Evolución del Phishing y la Seguridad Empresarial
El grupo Storm-2372 ha demostrado que las técnicas de phishing están evolucionando, alejándose de los métodos tradicionales con contraseñas y enfocándose en secuestro de sesiones mediante tokens de autenticación.
Los ataques dirigidos contra sectores estratégicos indican un enfoque geopolítico y una posible motivación de espionaje cibernético. Dado el riesgo que representa, las organizaciones deben fortalecer sus mecanismos de autenticación y educar a sus empleados para detectar este tipo de amenazas antes de que causen daño.
Fuente: The Hacker News
