Las ventas de cuentas de correo electrónico de los directores ejecutivos pueden dar a los ciberdelincuentes acceso a las «joyas de la corona» de una empresa.


Varios profesionales de la seguridad dijeron que las credenciales robadas en Exploit.in eran parte de una ola de ataques de compromiso de correo electrónico empresarial.

correo electrónico-datos-phishing-con-cyber-thief-hide-behind-laptop-computer-vector-id1164097820-1.jpg

Imagen: iStock / OrnRin

Un hacker comenzó a vender acceso a cientos de cuentas de correo electrónico de ejecutivos el viernes pasado, informó ZDNet. Las combinaciones de correo electrónico y contraseña se venden por entre $ 100 y $ 1,500 en Exploit.in, un foro clandestino de piratas informáticos poblado por hablantes de ruso.

La información de inicio de sesión ha sido verificada por equipos de ciberseguridad y son para cuentas de Office environment 365 y Microsoft de directores ejecutivos, directores de operaciones, directores de finanzas, directores de tecnología y otros puestos senior. ZDNet informó que un equipo de seguridad ha visto la información de inicio de sesión del director financiero de una tienda minorista europea y del director ejecutivo de una empresa de computer software con sede en EE. UU.

La persona detrás de la filtración dijo que tiene cientos de credenciales a la venta, y los expertos le dijeron a TechRepublic que, si bien aún no está claro cuán primary o authentic es el lote de información, las consecuencias serían devastadoras para cualquier compañía nombrada en la filtración.

Javvad Malik, defensor de la conciencia de seguridad en la empresa de ciberseguridad KnowBe4, dijo que el acceso a la cuenta de correo electrónico es la «joya de la corona» para cualquiera que busque dañar una organización, y las cuentas de los ejecutivos de nivel C eran incluso más integrales para una empresa.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

«Con acceso a un correo electrónico de ejecutivos, no hay límite para lo que un delincuente puede hacer. No solo pueden enviar correos electrónicos de phishing en nombre del ejecutivo para defraudar a la empresa o sus clientes, sino que pueden configurar reglas de correo electrónico que reenvían automáticamente correos electrónicos a una dirección de correo electrónico externa. Estas reglas seguirán funcionando incluso si se cambia la contraseña de la cuenta «, dijo Malik.

«Es posible que estas cuentas de correo electrónico y contraseñas fueran capturadas a través de phishing o porque los ejecutivos estaban reutilizando la misma contraseña en otro lugar».

El lote de información de cuentas filtrada es parte de una tendencia mucho mayor de ciberdelincuentes que persiguen las cuentas de los directores ejecutivos y ejecutivos de cientos de empresas. Más recientemente, los piratas informáticos se han esforzado por atacar a los ejecutivos farmacéuticos.

Adam Darrah, director de inteligencia de Vigilante, dijo que el vendedor que supuestamente tenía acceso a los datos fue expulsado del foro por razones desconocidas.

«Esta no es una práctica infrecuente dentro de la economía clandestina porque cuando una noticia provoca un aumento de la atención no deseada por parte de los medios, los investigadores y los imitadores por igual, el actor o los actores en cuestión, incluidos los moderadores y administradores del foro, preferirían que las cosas se calmaran. en el foro antes de un &#39regreso a la normalidad&#39 «, dijo Darrah. «Además, si el actor en cuestión de hecho tenía las credenciales comprometidas en cuestión, hay muchas otras opciones para él fuera de las comunidades de foros clandestinos en las que vender los datos».

Brandon Hoffman, CISO de Netenrich, señaló que Exploit.in es un foro de código cerrado muy conocido y muy popular que los ciberdelincuentes utilizan para ejercer su oficio.

Muchos actores de amenazas acuden en masa al foro para vender rutinariamente el acceso a cientos o miles de credenciales cada día, dijo, y agregó que era común que información como esta se obtuviera de los registros de Azorult.

«Azorult ha sido el ladrón de información elegido por los ciberdelincuentes durante los últimos dos años, si no más. Hay volúmenes masivos de registros de Azorult que son fáciles de encontrar y a los que los legos pueden acceder. Una vez que el ciberdelincuente determina que no hay valor en los registros restantes que no se han comprado, generalmente los lanzarán para el consumo &#39público&#39 «, explicó Hoffman.

«Si uno quisiera ver una muestra de los registros de Azorult y los formatos y datos relacionados, puede encontrarlos en sitios como Virus Complete si sabe dónde buscar. Estos registros se utilizan para alimentar una amplia gama de estafas y ataques».

La mayoría de los expertos en seguridad dijeron que la situación era un ejemplo más de por qué period very important que todas las empresas, y realmente cualquiera que usara Internet, tuvieran activada la autenticación multifactor.

Pero algunos cuestionaron si la autenticación multifactor era suficiente para proteger la información de la cuenta considerando la cantidad de infracciones de Workplace 365 que continúan ocurriendo.

Las violaciones de la toma de control de cuentas son las de más rápido crecimiento y prevalencia, afectando negativamente la reputación de las organizaciones e incurriendo en consecuencias financieras, según Chris Morales, jefe de análisis de seguridad de Vectra.

«Este compromiso de las cuentas ejecutivas coincide con una gran transición al trabajo remoto, como resultado de la pandemia de COVID-19 en curso, y la mayor adopción de plataformas SaaS, como Microsoft Business 365, como los espacios de trabajo digitales de acceso diario», dijo Morales. . «Si bien Workplace 365 proporciona a la fuerza laboral distribuida un dominio principal para realizar negocios, también crea un depósito central de datos e información que es un objetivo principal para que los atacantes lo exploten».

La frecuencia cada vez mayor de estos ataques preocupaba a los analistas de seguridad, quienes dijeron que decenas de miles de computadoras se infectan cada semana con troyanos que roban información diseñados para robar todas las credenciales de cuentas que no están clavadas en el escritorio.

La mayoría de las empresas todavía tienen cientos, si no miles, de cuentas que comparten una contraseña con las que fueron robadas en la violación de LinkedIn de hace más de cuatro años, dijo Chet Wisniewski, científico investigador principal de Sophos, y agregó que cuando se combinan con las credenciales obtenidas a través de ataques de phishing y esta información ladrones, «hay que asumir que la mayoría de las empresas tienen al menos una persona importante en una posición very similar».

Richard Hosgood, director de ingeniería de Votiro, se hizo eco de esas preocupaciones y le dijo a TechRepublic que los ejecutivos de alto nivel de muchas empresas tienden a tener un acceso comparable a los administradores en su red corporativa.

Hosgood comparó tener acceso a un nombre de usuario y contraseña de una cuenta de Place of work 365 con dar acceso a los piratas informáticos a servidores corporativos internos porque la mayoría de las cuentas y contraseñas en línea se sincronizan entre Place of work 365 y los controladores de dominio internos.

Aumento del compromiso del correo electrónico empresarial

Varios expertos en seguridad dijeron que las credenciales robadas eran parte de una ola de ataques de compromiso de correo electrónico empresarial (BEC) que se están convirtiendo cada vez más en un problema importante para las empresas.

Kacey Clark, investigadora de amenazas de Digital Shadows, dijo que por quinto año consecutivo, los ataques BEC, una forma especializada de phishing, comprenden la pérdida financiera más alta reportada, la friolera de $ 1.8 mil millones en 2019.

«Las credenciales que pertenecen a empleados de alto rango son preciosas para los actores malintencionados, ya que pueden aprovechar los datos de inicio de sesión para llevar a cabo ataques adicionales, como spearphishing y fraude. Las consecuencias de una violación de credenciales se extienden más allá de la organización y sus clientes. Las cuentas relevantes puede retener (o tener acceso a) información increíblemente wise «, explicó Clark.

«Un atacante que tenga en sus manos credenciales para cuentas válidas podría infligir un daño incalculable: iniciar sesión en bases de datos internas, filtrar datos confidenciales o lanzar ataques de ingeniería social.

Clark continuó diciendo que si bien la autenticación de dos factores es mejor que nada, estaba claro que no es infalible según los ataques anteriores. Los ciberdelincuentes ahora discuten con frecuencia métodos para evitar la autenticación de dos factores en los foros y dijo que en diciembre de 2019, un usuario de Exploit.in «creó un hilo para vender un proceso que evitaría los sistemas 2FA en un banco en línea con sede en Estados Unidos».

El ciberdelincuente afirmó que su sistema permitiría el acceso a cada siete a nueve de cada diez cuentas sin requerir verificación por SMS y valoró su oferta en $ 5,000.

Colin Bastable, director ejecutivo de Lucy Safety, dijo que los ataques BEC son únicos porque se basan en el comportamiento humano en lugar de en tecnología sofisticada. Las estafas típicas de BEC utilizan un correo electrónico de apariencia auténtica de un alto ejecutivo para engañar a los subordinados para que transfieran dinero.

Bastable señaló que el FBI informó que las estafas de BEC le costaron a las empresas más de $ 26 mil millones en todo el mundo entre 2016 y 2019, mientras que estas estafas representaron la mitad de todas las pérdidas por delitos cibernéticos en 2019.

«En lugar de lanzar un ataque masivo contra cientos o miles de objetivos desconocidos, las estafas de BEC se centran en un solo objetivo. Los atacantes investigan pacientemente a las empresas para identificar al ejecutivo adecuado. Analizan el sitio internet de la empresa y otra información disponible públicamente para identificar al private exceptional, determinar la cadena de mando, rastrear clientes importantes, incluso estudiar el estilo de correo electrónico del ejecutivo al que se dirigen, a veces investigando durante un mes o más «, dijo Bastable.

Según Bastable, los ciberdelincuentes a menudo utilizan estafas de ingeniería social para ingresar a la purple y robar las credenciales de un ejecutivo. Luego enviarán un correo electrónico a un subordinado solicitando la transferencia inmediata de fondos.

«Siempre es por una razón creíble: una adquisición de última hora o un pago atrasado a un socio o proveedor. Debido a la urgencia, el estafador le pide al empleado que transfiera los fondos a una cuenta diferente a la recurring y mantenga sus acciones confidenciales. Gracias Según la debida diligencia del pirata informático, el correo electrónico parece auténtico y el empleado transfiere dinero, directamente a la cuenta bancaria del estafador «, explicó Bastable.

Algunos ciberdelincuentes pueden falsificar los correos electrónicos del CEO incluso sin robar la información de su cuenta, y muchos ataques BEC presentan atacantes que se hacen pasar por clientes, empleados y proveedores.

Necesidad de una «cultura de seguridad»

Los expertos en seguridad emitieron varias soluciones diferentes para este tipo de ataques. Malik dijo que es importante para todos los empleados, incluidos los ejecutivos, usar contraseñas únicas e individuales para cada cuenta, habilitar la autenticación multifactor o de dos factores si está disponible, y monitorear regularmente las cuentas para ver si se han establecido reglas o si hay sesiones activas. que parecen fuera de lugar.

Chris Clements, vicepresidente de arquitectura de soluciones de Cerberus Sentinel, dijo que las organizaciones deben adoptar una cultura de seguridad comenzando con el liderazgo ejecutivo, lo que incluye garantizar que los empleados de administración elijan contraseñas seguras y no las reutilicen en múltiples sitios website o aplicaciones «.

«Las mejores prácticas adicionales, como separar las cuentas con privilegios administrativos de las cuentas que se utilizan para la informática diaria, pueden ayudar a proteger contra daños generalizados por compromiso. Por último, es importante que las organizaciones se aseguren de que sus instituciones financieras requieran verificación telefónica para cualquier transferencia monetaria a través de un determinado cantidad «, dijo Clements.

Ver también



Enlace a la noticia authentic