Microsoft, en coordinación con el gobierno de EE. UU., se ha apoderado de más de 100 sitios web utilizados por el famoso actor de amenazas al estado-nación ruso Star Blizzard. Un tribunal estadounidense autorizó a la Unidad de Delitos Digitales (DCU) de Microsoft a confiscar 66 dominios únicos utilizados por Star Blizzard para atacar a los clientes de Microsoft en todo el mundo tras revelarse una acción civil interpuesta por el gigante tecnológico. El Departamento de Justicia de Estados Unidos (DoJ) confiscó simultáneamente 41 dominios adicionales atribuidos al mismo actor. Si bien es probable que Star Blizzard establezca nueva infraestructura, se espera que la incautación de estos dominios perturbe significativamente la capacidad del grupo para interferir con las elecciones estadounidenses de noviembre. “La reconstrucción de la infraestructura lleva tiempo, absorbe recursos y cuesta dinero. Al colaborar con el Departamento de Justicia, hemos podido ampliar el alcance de la disrupción y aprovechar más infraestructura, lo que nos permite ofrecer un mayor impacto contra Star Blizzard”, dijo Microsoft en un blog. Microsoft agregó que el procedimiento judicial existente que autorizó la eliminación le permitirá interrumpir rápidamente cualquier nueva infraestructura identificada como utilizada por Star Blizzard en el futuro. Además, el gigante tecnológico planea analizar los dominios incautados para recopilar más información sobre el grupo y el alcance de sus actividades. El ataque de Star Blizzard a los procesos democráticos Star Blizzard, también conocido como Coldriver, ha estado activo desde al menos 2017 y se centró en socavar los procesos democráticos de las naciones occidentales, incluidos Estados Unidos y el Reino Unido. El grupo utiliza principalmente sofisticados ataques de ingeniería social para robar las credenciales de personas involucradas en decisiones políticas y procesos democráticos, como funcionarios electos, grupos de expertos, periodistas y empleados del sector público. El actor de la amenaza normalmente se hace pasar por un experto en un campo en particular, para establecer una relación con el objetivo antes de enviar un enlace de phishing. En diciembre de 2023, el gobierno del Reino Unido y sus aliados atribuyeron formalmente Star Blizzard al Servicio Federal de Seguridad de Rusia (FSB) y destacaron las campañas cibernéticas del grupo diseñadas para interferir en la política y los procesos democráticos del Reino Unido. El grupo es experto en ocultar su identidad, lo que le permite realizar la transición a nuevos dominios para continuar con sus operaciones. Microsoft dijo que ha identificado 82 clientes objetivo del grupo desde enero de 2023, a un ritmo de aproximadamente un ataque por semana. «Esta frecuencia subraya la diligencia del grupo a la hora de identificar objetivos de alto valor, elaborar correos electrónicos de phishing personalizados y desarrollar la infraestructura necesaria para el robo de credenciales», escribió Microsoft. “Sus víctimas, a menudo inconscientes de la intención maliciosa, interactúan sin saberlo con estos mensajes que comprometen sus credenciales. Estos ataques agotan los recursos, obstaculizan las operaciones y avivan el miedo en las víctimas, todo lo cual obstaculiza la participación democrática”, añadió la empresa. Creciente capacidad para perturbar a los atacantes La acción adoptada por Microsoft y el gobierno de EE. UU. es la última de una serie de operaciones realizadas por las autoridades para perturbar la infraestructura técnica utilizada por los grupos de amenazas cibernéticas. El 1 de octubre, la Agencia Nacional contra el Crimen (NCA) del Reino Unido sancionó a 16 miembros del grupo de hackers ruso Evil Corp e identificó sus vínculos con el prolífico grupo de ransomware LockBit. Al mismo tiempo, Europol anunció que las fuerzas del orden arrestaron a cuatro presuntos actores de LockBit, mientras que se incautaron servidores críticos para la infraestructura del grupo. Esta actualización fue el resultado de la fase tres de la Operación Cronos, un esfuerzo global de aplicación de la ley que por primera vez derribó gran parte de la infraestructura de LockBit en febrero de 2024. Microsoft ha prometido continuar sus esfuerzos para interrumpir de manera proactiva la infraestructura cibercriminal en coordinación con el sector privado, civil. la sociedad, las agencias gubernamentales y las fuerzas del orden. Haber de imagen: Ralf Liebhold/Shutterstock.com