Los investigadores de Microsoft 365 Defender han
interrumpido una infraestructura basada en la nube utilizada por los
estafadores detrás de una reciente campaña para comprometer correos electrónicos
empresariales (BEC) a gran escala.
Los atacantes comprometieron los buzones de correo de sus
objetivos utilizando phishing y exfiltraron información confidencial en correos
electrónicos que coincidían con las reglas de reenvío, lo que les permitió
obtener acceso a mensajes relacionados con transacciones financieras.
Acceso inicial obtenido mediante phishing
"la infraestructura de los atacantes alojada en
múltiples servicios web permitió a los atacantes operar de manera sigilosa,
característica de las campañas BEC", explicó el investigador de seguridad
del Microsoft 365 Defender Research Team Stefan Sellmer y Microsoft Threat
Intelligence Center (MSTIC) Nick Carr .
"Los atacantes realizaron actividades discretas para
diferentes IP y períodos de tiempo, lo que dificultó a los investigadores
correlacionar actividades aparentemente dispares como una sola operación".
Los investigadores de Microsoft revelaron todo el flujo de
ataque detrás de un incidente BEC reciente, desde el acceso inicial a los
buzones de correo de la víctima hasta la obtención de persistencia y el robo de
datos mediante reglas de reenvío de correo electrónico.
La información de inicio de sesión fue robada mediante
mensajes de phishing que redirigían a los objetivos a páginas de destino que
imitaban de cerca las páginas de inicio de sesión de Microsoft pidiéndoles que
ingresaran sus contraseñas en un campo de nombre de usuario previamente
completado.
Protocolos de autenticación heredados utilizados para omitir MFA
Si bien el uso de credenciales robadas para comprometer las
bandejas de entrada está bloqueado al habilitar la autenticación multifactor
(MFA), Microsoft también descubrió que los atacantes usaban protocolos
heredados como IMAP / POP3 para filtrar correos electrónicos y eludir MFA en
cuentas de Exchange Online cuando los objetivos no se alternaban. fuera de la
autenticación heredada
"Las credenciales se verifican con el agente de
usuario" BAV2ROPC ", que probablemente sea una base de código que
utiliza protocolos heredados como IMAP / POP3, contra Exchange Online",
dijeron los investigadores.
"Esto da como resultado un flujo de ROPC OAuth, que
devuelve un" invalid_grant "en caso de que MFA esté habilitado, por
lo que no se envía ninguna notificación de MFA".
Los atacantes también utilizaron la infraestructura basada
en la nube interrumpida por Microsoft para automatizar las operaciones a
escala, "incluida la adición de reglas, la observación y el seguimiento de
los buzones de correo comprometidos, la búsqueda de las víctimas más valiosas y
el tratamiento de los correos electrónicos reenviados".
También configuraron registros DNS que casi coincidían con
los de sus víctimas para que su actividad maliciosa se mezclara con
conversaciones de correo electrónico preexistentes y eludiera la detección.
Técnicamente, los atacantes no eludieron MFA, simplemente
usaron protocolos que los clientes tenían abiertos (IMAP, POP, etc.) que no
estaban configurados para MFA. No es culpa de Microsoft en lo más mínimo, si
una empresa continúa usando esos protocolos, debe configurar un sistema MFA
separado (se puede hacer para IMAP / SMTP) o hacer que el usuario inicie sesión
en la VPN de la empresa (que con suerte usa una contraseña + certificado MFA)
para acceder.
Como nos gusta decir: la seguridad es un proceso, no un
producto.
BEC detrás de casi $ 2 mil millones en pérdidas el año pasado
Aunque en algunos casos los métodos de los estafadores de
BEC pueden parecer carentes de sofisticación y sus correos electrónicos de
phishing son de naturaleza maliciosa para algunos, los ataques de BEC han
estado detrás de pérdidas financieras récord cada año desde 2018.
El informe anual del FBI 2020 sobre delitos cibernéticos
para 2020 enumeró un número récord de pérdidas ajustadas de más de $ 1.8 mil
millones reportadas el año pasado.
El mes pasado, Microsoft detectó otra campaña BEC a gran
escala dirigida a más de 120 empresas que usaban dominios con errores
tipográficos registrados solo unos días antes de que comenzaran los ataques.
En marzo, el FBI también advirtió sobre ataques BEC cada vez
más dirigidos a entidades
gubernamentales estatales, locales, tribales y territoriales (SLTT) de EE. UU.,
Con pérdidas reportadas que van desde $ 10,000 hasta $ 4 millones desde
noviembre de 2018 hasta septiembre de 2020.
Fuente: bleepingcomputer
0 Comentarios