Los proveedores de seguridad Fidelis, Mimecast, Palo Alto Networks y Qualys confirmaron que también se vieron afectados por el hackeo generalizado de SolarWinds , lo que se suma a la creciente lista de organizaciones que se sabe que han instalado versiones maliciosas de la aplicación SolarWinds Orion.
Esta semana, Mimecast, un proveedor de correo electrónico seguro, ha confirmado que ha sido blanco de los piratas informáticos de SolarWinds. A mediados de enero, el proveedor reveló un incidente de seguridad que involucraba a "un actor de amenazas sofisticado" que comprometía uno de sus certificados digitales y lo usaba para obtener acceso a algunas de las cuentas de Microsoft 365 de los clientes de la empresa.
En una actualización publicada el martes, la compañía dijo que ha encontrado evidencia de que este incidente está relacionado con el compromiso del software SolarWinds Orion y fue perpetrado por el mismo actor de amenazas sofisticado.
“Nuestra investigación también mostró que el actor de amenazas accedió, y potencialmente exfiltró, ciertas credenciales de cuentas de servicio encriptadas creadas por clientes alojados en los Estados Unidos y el Reino Unido. Estas credenciales establecen conexiones entre los inquilinos de Mimecast y los servicios en las instalaciones y en la nube, que incluyen LDAP, Azure Active Directory, Exchange Web Services, registro en diario de POP3 y rutas de entrega autenticadas por SMTP ”, dijo Mimecast .
Si bien Mimecast no tiene conocimiento de que alguna de las credenciales cifradas haya sido descifrada o mal utilizada, recomienda a los usuarios alojados en los EE. UU. Y el Reino Unido que restablezcan sus contraseñas.
Según los investigadores de la empresa de seguridad NETRESEC, el proveedor de seguridad Qualys también fue víctima del ataque SolarWinds. Qualys ha confirmado a los medios que sí encontró software Orion troyanizado en sus sistemas, pero dijo que el impacto fue limitado.
“Los ingenieros de Qualys descargaron la herramienta SolarWinds Orion, vulnerable / maliciosa, en nuestro entorno de laboratorio para realizar pruebas, que está completamente separada de nuestro entorno de producción. Las investigaciones en profundidad de Qualys han concluido que no hubo una exfiltración exitosa de ningún dato, a pesar de que el sistema de prueba intentó conectarse a la puerta trasera asociada ”, dijo el portavoz de la compañía a Forbes.
El representante de Palo Alto Networks dijo al periódico que la compañía detectó dos incidentes relacionados con SolarWinds en septiembre y octubre del año pasado. Palo Alto dijo que sus propias herramientas detectaron el malware al observar su comportamiento anómalo y lo bloquearon.
Otra firma de ciberseguridad, Fidelis, ha confirmado que fue un objetivo de los ataques de SolarWinds. La compañía dijo que si bien no usa el software SolarWinds Orion para la administración de sus sistemas corporativos, prueba todo tipo de software para verificar su compatibilidad con sus productos. Una investigación reveló que en mayo la empresa había instalado una copia de evaluación del software troyano SolarWinds Orion en una de sus máquinas de prueba aislada de su red central.
“Aunque no hemos identificado ninguna evidencia hasta la fecha de que el compromiso de SolarWinds haya impactado nuestras redes, continuaremos investigando los impactos potenciales usando nuestras propias herramientas como recomendamos a nuestros clientes”, dijo el CISO de Fidelis, Chris Kubic, en una publicación de blog .
La semana pasada, la firma estadounidense de ciberseguridad Malwarebytes reveló que fue atacada por el mismo actor de amenazas que pirateó la compañía de software de TI SolarWinds el año pasado. Malwarebytes dijo que la intrusión no estaba relacionada con el software SolarWinds sino con otro vector de ataque que involucra el abuso de aplicaciones con acceso privilegiado a los entornos de Microsoft Office 365 y Azure.
