Investigadores de Proofpoint, empresa especializada en ciberseguridad y cumplimiento normativo, han registrado un preocupante aumento de ataques dirigidos a altos ejecutivos de grandes empresas con el objetivo de tomar control de sus cuentas cloud de Microsoft 365. En los últimos seis meses, más de 100 organizaciones globales, que suman un total de 1.5 millones de empleados, han sido atacadas mediante el envío de aproximadamente 120,000 emails de phishing.
Los ataques se ejecutan usando EvilProxy, una herramienta de phishing basada en una arquitectura de proxy inverso que permite a los ciberdelincuentes robar credenciales protegidas por autenticación multifactor (MFA) y cookies de sesión. A pesar del crecimiento en el uso de MFA, también ha habido un aumento en la apropiación de cuentas protegidas con esta medida, debido a la proliferación de kits y herramientas de phishing. Según Proofpoint, al menos el 35% de los usuarios comprometidos el año pasado tenían MFA activada.
El desarrollo de phishing como servicio (PhaaS) ha sido posible gracias a los kits de código abierto, lo que permite a los suplantadores de credenciales, incluso con pocas habilidades técnicas, pagar por herramientas preconfiguradas como EvilProxy para servicios online como Gmail, Microsoft, Dropbox, Facebook, Twitter, etc.
Al combinar el sofisticado phishing Adversary-in-the-Middle con otros métodos avanzados de toma de control de cuentas, los atacantes logran eludir estas medidas de seguridad. Específicamente, un método observado que resulta especialmente eficaz es una nueva automatización avanzada que permite a los ciberdelincuentes determinar con precisión y en tiempo real si un usuario víctima de phishing es, por ejemplo, un directivo. Esto les permite obtener acceso inmediato a la cuenta de su interés e ignorar otros perfiles menos lucrativos.
Proofpoint subraya que los ciberdelincuentes están constantemente buscando nuevas formas de robar credenciales y que sus métodos y técnicas deben adaptarse a los nuevos productos y metodologías de ciberseguridad para seguir siendo efectivos. La popularidad de las amenazas de proxy inverso, mucho más potentes que los kits de phishing de hace tiempo, ha expuesto brechas en las estrategias de defensa de las organizaciones.
Para proteger a las organizaciones contra amenazas híbridas avanzadas, que combinan correo electrónico y nube, Proofpoint recomienda bloquear y controlar los emails maliciosos dirigidos a los usuarios, identificar la toma de control de cuentas y el acceso no autorizado a recursos dentro del entorno cloud corporativo, aislar las sesiones potencialmente maliciosas iniciadas por enlaces incrustados en emails, y educar a los usuarios sobre los posibles riesgos.
El equipo de investigación de Proofpoint advierte: “Las credenciales de los empleados son muy valoradas por los ciberdelincuentes, ya que pueden proporcionar acceso a información corporativa valiosa o sensible y a cuentas de usuario. Sin embargo, no todas las credenciales son iguales. Nuestra investigación indica que los atacantes a menudo apuntan a puestos de trabajo o departamentos específicos, y sus métodos y técnicas deben evolucionar constantemente, como encontrar formas de eludir la autenticación multifactor. Contrariamente a la creencia popular, ni siquiera la MFA es infalible frente a las sofisticadas amenazas basadas en la nube. Una vez dentro, los actores maliciosos pueden esconderse sin ser detectados en el entorno de una organización”.
