El proveedor de software remoto TeamViewer se ha visto afectado por un ciberataque que ha atribuido al actor de amenazas afiliado al estado ruso Midnight Blizzard/APT29. La empresa reveló que identificó un comportamiento sospechoso en una cuenta de empleado estándar dentro de su entorno de TI corporativo el miércoles 26 de junio. Ha vinculado el incidente a las credenciales de esa cuenta. TeamViewer dijo que su equipo de seguridad pudo contener el ataque dentro de su entorno de TI corporativo, sin evidencia de que el actor de la amenaza haya obtenido acceso a su entorno de producto o a los datos de sus clientes. “Siguiendo una arquitectura de mejores prácticas, contamos con una fuerte segregación de la TI corporativa, el entorno de producción y la plataforma de conectividad TeamViewer. Esto significa que mantenemos todos los servidores, redes y cuentas estrictamente separados para ayudar a evitar el acceso no autorizado y el movimiento lateral entre los diferentes entornos”, afirmó la firma. TeamViewer añadió que está en “intercambio constante” con proveedores de inteligencia sobre amenazas y autoridades pertinentes mientras continúa investigando el incidente. El ataque se atribuye al grupo estatal ruso TeamViewer, junto con el soporte externo de respuesta a incidentes, actualmente atribuye el ataque al actor de amenazas Midnight Blizzard/APT29. Midnight Blizzard es un grupo APT vinculado al servicio de inteligencia exterior de Rusia (SVR). Se sabe que se especializa en operaciones de espionaje y recopilación de inteligencia contra gobiernos e industrias críticas. En enero de 2024, Microsoft reveló que el grupo comprometió las cuentas de correo electrónico de algunos miembros de su equipo de liderazgo senior. Más tarde, la empresa reveló que Midnight Blizzard utilizó información extraída de sus sistemas de correo electrónico corporativo para obtener acceso al código fuente y a los sistemas internos. En junio de 2024, la agencia francesa de ciberseguridad ANSSI dijo que el grupo ha estado atacando continuamente a entidades diplomáticas y organizaciones públicas francesas desde 2021. Atención médica advertida sobre explotación activa Los actores de amenazas utilizan con frecuencia servicios de software remotos como TeamViewer para obtener acceso inicial y establecer persistencia en las redes objetivo. . TeamViewer se utiliza en varios sectores críticos, incluidos los de fabricación, atención sanitaria y organizaciones del sector público. El Centro de Análisis e Intercambio de Información Sanitaria de EE. UU. (H-ISAC) ha emitido un boletín de amenazas advirtiendo a las organizaciones sanitarias sobre la explotación activa de TeamViewer. La agencia recomienda que los usuarios habiliten la autenticación de dos factores y utilicen la lista de permitidos y la lista de bloqueo para controlar quién puede conectarse a sus dispositivos, entre otras medidas. Creadores de Wirestock / Shutterstock.com