Microsoft ha dado la voz de alarma sobre un nuevo grupo de ciberespionaje vinculado a Rusia, al que han bautizado como Void Blizzard (también conocido como LAUNDRY BEAR). Este grupo se dedica a atacar organizaciones clave en Europa y Norteamérica, con el objetivo de robar información valiosa para el gobierno ruso. ¿Suena preocupante? Pues lo es.
¿Quiénes son sus objetivos?
Void Blizzard no es nada discreto en sus elecciones. Sus objetivos principales son:
- Organizaciones gubernamentales
- Empresas de defensa
- Compañías de transporte
- Medios de comunicación
- ONGs
- Proveedores de salud
En resumen, cualquier organización que pueda tener información relevante para los intereses estratégicos de Rusia.
¿Cómo operan?
Los chicos de Void Blizzard no se andan con rodeos. Sus técnicas, aunque no son las más sofisticadas, son efectivas:
- Credenciales robadas: Compran credenciales robadas en mercados online, lo que les permite acceder a las redes de las organizaciones.
- Spear phishing: Envían correos electrónicos falsos diseñados para engañar a los usuarios y que revelen sus contraseñas. En abril de 2025, Microsoft detectó una campaña de spear phishing en la que se hacían pasar por organizadores de la European Defence and Security Summit, utilizando un dominio similar al de Microsoft para robar credenciales.
- Abuso de APIs en la nube: Una vez dentro, abusan de APIs legítimas como Exchange Online y Microsoft Graph para acceder a correos electrónicos y archivos almacenados en la nube.
¿Por qué es importante esta alerta?
Aunque sus tácticas no sean innovadoras, la persistencia y el enfoque de Void Blizzard los convierten en una amenaza real. Su capacidad para comprometer organizaciones en sectores críticos representa un riesgo significativo para la seguridad de los estados miembros de la OTAN y los aliados de Ucrania.
¿Qué puedes hacer para protegerte?
Microsoft, junto con sus socios de inteligencia de los Países Bajos y Estados Unidos, ha compartido una serie de recomendaciones para mitigar el riesgo de ataques de Void Blizzard:
Refuerzo de la identidad y la autenticación
- Implementa políticas de riesgo de inicio de sesión: Automatiza la respuesta a inicios de sesión sospechosos, bloqueando el acceso o exigiendo autenticación multifactor.
- Exige autenticación multifactor (MFA): Utiliza métodos resistentes al phishing como FIDO Tokens o Microsoft Authenticator con passkey.
- Centraliza la gestión de identidades: Integra tus directorios locales con los directorios en la nube para una gestión más eficiente y una mejor monitorización.
- Higiene de credenciales: Aplica el principio de mínimo privilegio y audita la actividad de las cuentas con privilegios.
Refuerzo de la seguridad del correo electrónico
- Gestiona la auditoría de buzones: Asegúrate de que las acciones realizadas por los propietarios de los buzones, delegados y administradores se registren automáticamente.
- Ejecuta informes de acceso a buzones que no son del propietario: Detecta accesos no autorizados a los buzones.
Refuerzo contra la actividad posterior a la intrusión
- Rota las credenciales: Si sospechas una brecha, rota las credenciales de las cuentas que puedan haber sido comprometidas.
- Realiza búsquedas de auditoría en la API de Microsoft Graph: Busca actividad anómala.
- Crea políticas de detección de anomalías en Defender for Cloud Apps.
En resumen...
Void Blizzard es una amenaza seria que no debe tomarse a la ligera. Implementa las medidas de seguridad recomendadas y mantente alerta para proteger tu organización de sus ataques de ciberespionaje.