Recientemente, un incidente de seguridad en Hewlett Packard Enterprise (HPE) ha capturado la atención mundial. Informes indican que hackers rusos lograron acceder a cuentas de correo electrónico del equipo de seguridad de HPE. En este artículo proporcionaremos un análisis detallado del incidente, destacando la importancia de la ciberseguridad en el entorno corporativo moderno.
Hewlett Packard Enterprise (HPE) ha anunciado que presuntos hackers rusos, conocidos como Midnight Blizzard, lograron acceder al entorno de correo electrónico de Microsoft Office 365 de la empresa para sustraer información de su equipo de ciberseguridad y otros departamentos.
Midnight Blizzard, también identificado como Cozy Bear, APT29 y Nobelium, es un grupo de ciberdelincuentes respaldado por el gobierno ruso y se cree que está vinculado al Servicio de Inteligencia Exterior de Rusia (SVR). Estos actores de amenazas han sido relacionados con diversos ataques a lo largo del año, incluyendo el notorio ataque a la cadena de suministro de SolarWinds en 2020.
Según una presentación reciente del Formulario 8-K ante la SEC, HPE informa que recibió notificación el 12 de diciembre de que los presuntos hackers rusos habían comprometido su entorno de correo electrónico basado en la nube en mayo de 2023.
Te podrá interesar leer: Ciberespías Rusos Usan Gusano LitterDrifter en Ataques
"De acuerdo con nuestra investigación actual, creemos que los atacantes lograron acceder y extraer datos a partir de mayo de 2023 de un pequeño número de buzones de correo pertenecientes a individuos en los departamentos de ciberseguridad, marketing, negocios y otras funciones de HPE", se lee en la presentación ante la SEC.
HPE está llevando a cabo una investigación en curso sobre esta brecha de seguridad, pero sospecha que está relacionada con una infracción anterior en mayo de 2023, cuando los actores de amenazas lograron acceder al servidor SharePoint de la empresa y robaron archivos.
La empresa continúa colaborando con expertos externos en ciberseguridad y autoridades policiales para llevar a cabo una investigación exhaustiva del incidente. En respuesta a preguntas adicionales sobre la violación de seguridad, HPE proporcionó la siguiente declaración a un medio de comunicación.
"El 12 de diciembre de 2023, se notificó a HPE que un presunto actor estatal había obtenido acceso no autorizado al entorno de correo electrónico Office 365 de la empresa. HPE activó inmediatamente protocolos de respuesta cibernética para comenzar una investigación, remediar el incidente y erradicar la actividad. A través de esa investigación, que continúa en curso, determinamos que este actor de estado-nación accedió y exfiltró datos a partir de mayo de 2023 de un pequeño porcentaje de buzones de correo de HPE que pertenecen a personas en nuestros segmentos de ciberseguridad, comercialización, negocios y otras funciones. Creemos que el actor del estado-nación es Midnight Blizzard, también conocido como Cozy Bear.
Los datos a los que se accede se limitan a la información contenida en los buzones de correo de los usuarios. Continuamos investigando y haremos las notificaciones apropiadas según sea necesario.
Por extrema precaución y deseo de cumplir con el espíritu de las nuevas pautas regulatorias de divulgación, hemos presentado un formulario 8-K ante la Comisión de Bolsa y Valores para notificar a ese organismo y a los inversores sobre este incidente. Dicho esto, no ha habido ningún impacto operativo en nuestro negocio y, hasta la fecha, no hemos determinado que este incidente pueda tener un impacto financiero material".
Aunque HPE no ha proporcionado información adicional, Microsoft recientemente informó sobre una violación de seguridad perpetrada por Midnight Blizzard, que también resultó en la sustracción de datos de cuentas de correo electrónico corporativas, incluyendo la de su equipo de liderazgo. La infracción en Microsoft se originó debido a una configuración incorrecta de una cuenta de inquilino de prueba, lo que permitió a los actores de amenazas forzar la contraseña de la cuenta y acceder a sus sistemas.
Aprovechando este acceso, Midnight Blizzard logró ingresar a las cuentas de correo electrónico corporativas para robar datos pertenecientes al equipo de liderazgo senior de Microsoft y a los empleados de sus departamentos legales y de ciberseguridad.
HPE comunicó que no tienen conocimiento de si su incidente guarda relación con el ocurrido en Microsoft. La empresa experimentó una violación de seguridad previa en 2018, cuando hackers chinos comprometieron su red y la de IBM, utilizando luego ese acceso para atacar los dispositivos de sus clientes.
En un evento más reciente, en 2021, HPE reveló una vulnerabilidad en los repositorios de datos de su plataforma de monitoreo de red Aruba Central, lo que permitió que actores de amenazas accedieran a información sobre los dispositivos monitoreados y sus ubicaciones.
Conoce más sobre: Hackers rusos hurtan emails de Microsoft
El ataque a HPE pone de manifiesto la importancia de adoptar medidas de seguridad adecuadas para proteger los entornos de correo electrónico basados en la nube, que son cada vez más utilizados por las empresas debido a sus ventajas de accesibilidad, movilidad y productividad.
Algunas de las medidas de seguridad que se recomiendan para prevenir o detectar este tipo de ataques son las siguientes:
Educación y Concienciación del Personal: Capacitar a los empleados en la identificación de correos electrónicos de phishing y en prácticas seguras de navegación en internet.
Seguridad Multifactor: Implementar autenticación de múltiples factores para el acceso a cuentas críticas.
Actualizaciones y Parches Regulares: Mantener todos los sistemas y software actualizados para protegerse contra vulnerabilidades conocidas.
Monitoreo y Respuesta: Establecer un sistema de monitoreo constante de la red y tener un plan de respuesta ante incidentes de seguridad.
Podría interesarte leer: Monitorización de Correo Electrónico con Wazuh
El ciberataque sufrido por HPE por parte de hackers rusos es un ejemplo más de la amenaza que suponen los actores patrocinados por estados para la seguridad de las empresas y sus clientes.
Es necesario que las empresas tomen conciencia de esta realidad y adopten medidas de seguridad adecuadas para proteger sus entornos de correo electrónico basados en la nube, que son un objetivo frecuente de los hackers debido a la cantidad y la calidad de la información que almacenan.
Asimismo, es importante que las empresas estén preparadas para responder de forma rápida y eficaz en caso de sufrir un ciberataque, minimizando su impacto y comunicando de forma transparente y responsable a las partes afectadas.