Los ciberdelincuentes utilizan cada vez más la autenticación multifactor (MFA) para secuestrar cuentas ejecutivas. Esto es lo que descubrieron los expertos en seguridad informática de Proofpoint. Vieron un aumento de más del 100 por ciento en los últimos seis meses en incidentes en los que los ciberdelincuentes pudieron obtener acceso a las cuentas en la nube de ejecutivos de alto nivel en las principales empresas.
Más de 100 empresas en todo el mundo con un total de más de 1,5 millones de empleados se ven afectadas. Los delincuentes utilizaron EvilProxy para sus ataques. Se trata de una herramienta de phishing con una arquitectura de proxy inverso que permite a los atacantes robar credenciales protegidas por MFA y cookies de sesión.
Los atacantes evitan la protección MFA
Los expertos de Proofpoint evalúan estos nuevos ataques: “Las credenciales de los empleados son muy buscadas por los ciberdelincuentes: pueden proporcionar acceso a información valiosa o sensible de la empresa y a cuentas de usuario. Si bien las credenciales generalmente ofrecen una variedad de vectores de ataque, no todas las credenciales son igualmente valiosas. Las investigaciones muestran que los delincuentes suelen atacar funciones o departamentos específicos. Para ello, tienen que desarrollar constantemente sus métodos y técnicas, por ejemplo para anular la autenticación multifactor.
Contrariamente a la creencia popular, MFA no es una panacea contra los ataques sofisticados basados en la nube. Una vez dentro, los actores maliciosos pueden esconderse alrededor de una organización sin ser detectados y lanzar ataques sofisticados a voluntad. Los kits de phishing de derivación de MFA disponibles en el mercado ahora son omnipresentes, lo que permite que incluso los delincuentes sin conocimientos técnicos lancen una campaña de phishing y engañen a los empleados para que entreguen las credenciales de sus cuentas”.
Abuso de proxy inverso
El uso cada vez mayor de MFA ha llevado a la proliferación de kits y herramientas de phishing que ayudan a eludir esta capa de seguridad. Los ciberdelincuentes utilizan cada vez más kits de phishing Adversary-in-the-Middle (AitM) como EvilProxy para robar credenciales y cookies de sesión en tiempo real.
La eficacia de EvilProxy como herramienta de phishing es bien conocida. Sin embargo, los expertos de Proofpoint identificaron una brecha preocupante en la conciencia de los líderes de seguridad de TI sobre los riesgos y las posibles consecuencias, como Business Email Compromise (BEC) y Account Takeover (ATO).
Fase 1: Phishing con EvilProxy
Desde principios de marzo, los especialistas de Proofpoint han estado monitoreando una campaña que utiliza EvilProxy para atacar miles de cuentas de usuarios de Microsoft 365. El volumen total de esta campaña es impresionante: entre marzo y junio de 2023, se enviaron aproximadamente 120.000 correos electrónicos de phishing a cientos de organizaciones específicas en todo el mundo.
En la fase de phishing de sus ataques, los delincuentes utilizaron tres técnicas principales:
- Suplantación de marca: los remitentes se hacen pasar por servicios y aplicaciones confiables, p. B. Soluciones Concur, DocuSign y Adobe.
- Bloqueo de escaneo: los atacantes utilizaron protección contra robots de escaneo de seguridad cibernética para dificultar que las soluciones de seguridad analicen sus sitios web maliciosos.
- Cadena de infección de varias etapas: los atacantes redirigen el tráfico a través de redirecciones legítimas de acceso abierto.
Para ocultar sus correos electrónicos de las herramientas de escaneo automático, los atacantes utilizan una codificación de correo electrónico especial y sitios web legítimos que han sido pirateados para cargar su código PHP y descifrar la dirección de correo electrónico de un usuario específico.
Etapa 2: compromiso de la cuenta
La lista de usuarios objetivo incluye muchos objetivos de alto nivel, p. B. Directores generales, directores corporativos, ejecutivos de nivel C y vicepresidentes en empresas líderes. Estos individuos son particularmente valorados por los delincuentes porque potencialmente tienen acceso a datos y activos confidenciales. De los cientos de usuarios comprometidos, aproximadamente el 39 por ciento eran empleados de alta dirección (“nivel C”), incluido el 17 por ciento directores financieros y el 9 por ciento presidentes y directores ejecutivos. Los atacantes también muestran interés en la gerencia de nivel inferior, centrando sus esfuerzos en los empleados con acceso a activos o información confidencial.
Fase 3: Abuso tras compromiso
Una vez que los atacantes obtienen acceso a la cuenta de una víctima, se establecen en el entorno de nube de la víctima. En múltiples ocasiones, los atacantes utilizaron una aplicación nativa de Microsoft 365 para realizar manipulaciones MFA. Al utilizar "Mis inicios de sesión", los atacantes pudieron agregar su propio método de autenticación multifactor, proporcionando acceso persistente a las cuentas de usuario comprometidas. Prefieren el método a través de una aplicación de autenticación con mensaje y código.
Más en Proofpoint.com
Acerca de Proofpoint Proofpoint, Inc. es una empresa líder en ciberseguridad. El enfoque de Proofpoint es la protección de los empleados. Porque estos significan el mayor capital para una empresa, pero también el mayor riesgo. Con un conjunto integrado de soluciones de ciberseguridad basadas en la nube, Proofpoint ayuda a las organizaciones de todo el mundo a detener las amenazas dirigidas, proteger sus datos y educar a los usuarios de TI empresariales sobre los riesgos de los ciberataques.