Flash news

Malwarebytes, la nuova vittima degli hacker di SolarWinds

I dirigenti della società di sicurezza informatica Malwarebytes hanno rivelato che i loro sistemi sono stati violati dallo stesso gruppo di autori di minacce responsabili del recente incidente a SolarWinds. Malwarebytes non utilizza soluzioni SolarWinds, quindi l’azienda esclude che questi incidenti siano direttamente correlati.

Sul possibile vettore di attacco, la società afferma che gli hacker avrebbero ottenuto l’accesso sfruttando una vulnerabilità priva di patch in Azure Active Directory e utilizzando alcune applicazioni dannose per Office 365. Il Microsoft Security Response Center (MSRC) è stato informato dell’incidente alla fine dello scorso anno.

Rapporti aggiuntivi indicano che, al momento della ricezione di questo rapporto, Microsoft stava conducendo un controllo rigoroso in Office 365 e Azure per possibili attività dannose relative agli hacker di SolarWinds, identificati come Dark Halo o UNC2452.

Il team di sicurezza di Malwarebytes ha avviato un’indagine subito dopo aver rilevato l’intrusione: “Dopo approfondite ricerche, abbiamo stabilito che gli autori delle minacce accedevano solo a un sottoinsieme limitato degli indirizzi e-mail dei nostri dipendenti“, ha affermato il CEO Marcin Kleczynski.

La preoccupazione principale per Malwarebytes era che gli aggressori fossero riusciti a iniettare malware Sunburst nei loro sistemi, il che avrebbe reso più facile l’installazione di backdoor. L’audit svolto dai ricercatori dell’azienda si è concentrato sulla ricerca di qualsiasi indicatore di coinvolgimento simile al passato attacco alla catena di approvvigionamento: “I nostri sistemi interni non hanno mostrato alcuna prova di accesso non autorizzato o compromissione in alcun ambiente locale e di produzione“, ha detto Kleczynski.

In questo modo Malwarebytes diventa la quarta società di sicurezza colpita da Dark Halo, un gruppo presumibilmente legato al governo russo anche se restano speculazioni fonte di indagine sulla vicenda. Anche Microsoft, CrowdStrike e FireEye sono stati bersagli di questo gruppo di hacker.