Lectura oscura | Seguridad | Proteja el negocio



Microsoft ha revelado los detalles de cómo interrumpió una infraestructura de compromiso de correo electrónico empresarial (BEC) a gran escala alojada en múltiples servicios world-wide-web, una estrategia que permitió a los atacantes pasar desapercibidos.

La ola de recientes ataques de ransomware de alto perfil puede ser una prioridad para los líderes empresariales, pero BEC sigue siendo un problema empresarial prolífico y costoso. El Centro de Quejas de Delitos en World-wide-web (IC3) del FBI informó
Las estafas de BEC ascendieron a 19369 y costaron aproximadamente $ 1.8 mil millones en 2020, durante un año en el que las pérdidas totales por delitos cibernéticos superaron los $ 4.1 mil millones en general.

Parte de la razón por la que las campañas de BEC tienen éxito es su naturaleza sigilosa, escribieron investigadores del Equipo de Investigación de Microsoft 365 Defender en una publicación de blog site sobre la interrupción de la campaña de BEC. Estos ataques tienen una huella pequeña, crean señales bajas que no superan las listas de alerta de los defensores y, por lo standard, se mezclan con el ruido típico del tráfico de la crimson corporativa.

«Los atacantes realizaron actividades discretas para diferentes IP y marcos de tiempo, lo que dificultó a los investigadores correlacionar actividades aparentemente dispares como una sola operación», dijeron sobre los desafíos en el análisis de esta operación en certain.

Los investigadores rastrearon esta campaña hasta un ataque de phishing en el que los delincuentes robaron credenciales de usuario para iniciar sesión en los buzones de correo de destino y crear reglas de reenvío que les darían acceso a correos electrónicos relacionados con transacciones financieras. Antes de que se crearan las reglas de reenvío, los buzones de correo de destino recibían un correo electrónico de phishing con un mensaje de voz y un archivo adjunto HTML. Estos correos electrónicos provienen del espacio de direcciones de un proveedor de nube externo, anotaron los investigadores.

El archivo HTML contenía JavaScript que decodificaba una página de inicio de sesión falsa diseñada para parecerse a la página de inicio de sesión de Microsoft, completa con el nombre de usuario completado. Las víctimas que ingresaron contraseñas vieron animaciones antes de que apareciera el mensaje «Archivo no encontrado». Mientras tanto, sus credenciales se enviaban a los atacantes mediante un redirector, también alojado por un proveedor de nube externo.

A lo largo de su investigación, los investigadores vieron cientos de buzones de correo comprometidos en varias empresas. Todas las reglas de reenvío se configuraron para enviar correos electrónicos a una de las dos cuentas controladas por el atacante si los mensajes tenían «factura», «pago» o «extracto». Los atacantes también agregaron reglas para eliminar los correos electrónicos reenviados del buzón de correo de la víctima.

Los delincuentes de BEC miran a la nube
El análisis de Microsoft reveló que esta campaña se ejecutó en una infraestructura «robusta» basada en la nube que se utilizó para automatizar las operaciones de los atacantes, que incluían encontrar objetivos de alto valor, agregar reglas de reenvío, monitorear las bandejas de entrada de los objetivos y manejar los correos electrónicos que buscaban.

En este caso, los atacantes intentaron intencionalmente dificultar que los defensores se dieran cuenta de que sus actividades eran parte de una sola campaña por ejemplo, llevaron a cabo diferentes actividades para diferentes IP y períodos de tiempo. Sin embargo, los investigadores señalaron que el ataque se llevó a cabo desde rangos de direcciones IP específicos.

«Observamos las actividades anteriores de los rangos de direcciones IP que pertenecen a un proveedor de nube externo, y luego vimos suscripciones fraudulentas que compartían patrones comunes en otros proveedores de nube, lo que nos brinda una imagen más completa de la infraestructura del atacante». los investigadores escribieron.

Explicaron cómo los atacantes utilizaron una estructura de trabajador en las máquinas virtuales en las que cada VM solo ejecutaba una operación específica, por lo que las actividades provenían de diferentes fuentes de IP. Los atacantes también configuraron registros DNS que parecían similares a los dominios de empresas existentes, por lo que se mezclarían con los mensajes de correo electrónico y podrían usarse en campañas de phishing específicas.

Esta investigación subraya cómo los atacantes BEC están invirtiendo más tiempo y esfuerzo para evadir la detección mezclándose con tráfico legítimo utilizando rangos de IP que tienen una alta reputación y asegurando que los pasos de su ataque se desarrollen en diferentes momentos y ubicaciones, señalaron los investigadores.

A medida que se enteraron de cómo los atacantes se estaban aprovechando de los proveedores de servicios en la nube en esta campaña, la Unidad de Delitos Digitales (DCU) de Microsoft trabajó con el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) para informar sus hallazgos a los equipos de seguridad en la nube para que las cuentas maliciosas pudieran ser suspendidas y infraestructura derribada.



Enlace a la noticia authentic