Amazon confiscó dominios utilizados por hackers rusos para atacar sistemas Windows.

Amazon ha tomado el control de varios dominios de internet utilizados por hackers rusos para llevar a cabo ataques de phishing. CJ Moses, el Director de Seguridad de la Información de la compañía, anunció que un grupo de amenazas respaldado por el estado ruso, conocido como Midnight Blizzard (también llamado APT29), fue identificado realizando una campaña de phishing a gran escala dirigida a agencias gubernamentales, empresas y fuerzas armadas.

Los ataques consistían en suplantar a Amazon Web Services (AWS), la división de nube de la compañía, mediante correos electrónicos de phishing escritos en ucraniano. Según Moses, el propósito de esta campaña no era atacar directamente a AWS ni robar credenciales de la plataforma, sino obtener credenciales de Windows para acceder a través de Microsoft Remote Desktop.

“Al enterarnos de esta actividad, iniciamos de inmediato el proceso para confiscar los dominios que APT29 estaba utilizando para hacerse pasar por AWS y así interrumpir sus operaciones”, agregó Moses. Además, CERT-UA, el equipo de respuesta a emergencias informática de Ucrania, ha emitido un aviso con más detalles sobre su labor.

Es importante recordar que Midnight Blizzard es el mismo grupo detrás del ataque notorio a Microsoft, que obligó a la empresa a reformar por completo sus políticas de seguridad. En 2024, Microsoft reveló que había sido atacado por este grupo, que logró acceder a cuentas de correo corporativo dentro de sus departamentos de ciberseguridad y legal. Posteriormente, se confirmó que la brecha no se limitó a la empresa, afectando también a cuentas corporativas de otras organizaciones externas.

Debido a este incidente y otros, Microsoft fue muy criticado por la comunidad de ciberseguridad y el gobierno de Estados Unidos, lo que llevó a la iniciativa Secure Future, un compromiso de la empresa para una revisión completa de sus medidas de seguridad.