Microsoft, el paraíso de los ciberdelincuentes. Serie de artículos de blog.
Este artículo forma parte de una serie de blogs sobre diferentes tipos de ataques por correo electrónico centrados en las personas, que Microsoft no consigue detectar. Estos ataques cuestan a las organizaciones millones de dólares al año en pérdidas y generan frustración en los equipos de seguridad de la información y los usuarios debido a unas tecnologías de detección obsoletas y a las limitaciones inherentes a la seguridad del correo electrónico de Microsoft.
En esta serie, descubrirá los errores de Microsoft a la hora de detectar una serie de tipos de ataques distintos, que analizaremos en profundidad con ejemplos recientes de:
- Microsoft no detecta las estafas BEC (fraudes del correo electrónico)
- Microsoft no detecta los ataques de ransomware
- Microsoft no detecta los ataques a proveedores
- Los ataques de compromiso de cuentas que escapan a Microsoft
Suscríbase a nuestro blog (al final de esta página) para mantenerse informado sobre estos fallos de detección que pueden afectar a su organización. También puede utilizar nuestra evaluación rápida de riesgos para conocer mejor los riesgos a los que se enfrenta su organización.
Ataques mediante cargas maliciosas en archivos compartidos no detectados por Microsoft
Los ataques mediante cargas maliciosas en archivos compartidos son unas de las tácticas mediante URL más comunes. Nuestros propios datos internos sobre amenazas, en los que observamos 49 000 millones de URL al día, muestran que sitios web de uso compartido de archivos se utilizan en más de la mitad de los ataques basados en URL. Dado que los usuarios confían de forma natural en servicios como Microsoft OneDrive e Microsoft SharePoint, se han convertido en objetivos prioritarios de los ciberdelincuentes.
Microsoft se encuentra en una posición única: no solo alberga archivos maliciosos, sino que les permite pasar desapercibidos para su solución de protección del correo electrónico. En 2021, se enviaron más de 45 millones de amenazas con contenido malicioso alojado por Microsoft a clientes de Proofpoint, como se muestra a continuación.
Figura 1. Microsoft alberga la mayoría de las URL maliciosas enviadas a nuestros clientes. Desde enero de 2021, Microsoft 365 ha enviado o alojado más de 45 millones de amenazas dirigidas contra los clientes de Proofpoint.
Estos ataques, que comprometen las cuentas, pueden costar muy caro a las organizaciones. Por ejemplo, según el estudio del Ponemon Institute sobre el coste del phishing en 2021, las amenazas cuestan todos los años a las grandes empresas (10 000 empleados) millones de dólares en prevención, corrección y tiempo de inactividad de los usuarios. Sabiendo que más de la mitad de las amenazas que utilizan URL proceden de contenido malicioso o malware alojado en sitios de uso compartido de archivos, se trata de un problema cuya solución tiene un enorme coste económico.
Figura 2. Información general sobre los costes asociados al phishing para las empresas con 10 000 empleados. (Fuente: Ponemon Institute, The 2021 Cost of Phishing Study [Estudio sobre el coste del phishing en 2021])
Solo en un mes, y en un conjunto de datos limitado de evaluaciones rápidas de riesgos, Proofpoint detectó más de 13 000 amenazas que utilizaban URL procedentes de sitios de uso compartido de archivos y otros sitios web legítimos que eluden las defensas perimetrales del correo electrónico de Microsoft. Pero no se trata solamente de las amenazas que no detecta la solución de protección del correo electrónico de Microsoft, tampoco detecta los ciberdelincuentes que aprovechan Microsoft para lanzar ataques, y muchos no se denuncian hasta días o semanas más tarde. Con mucha frecuencia, Microsoft juega a la vez el papel de bombero y de pirómano.
Permita que Proofpoint juegue el papel de detector de humo con el fin de mantener alejadas esas amenazas. En tan solo un mes, Proofpoint detectó más de 3,8 millones de mensajes maliciosos enviados mediante servidores de Microsoft y aproximadamente 370 000 amenazas alojadas en servicios como Microsoft 365 OneDrive, SharePoint y Azure.
A continuación se incluyen unos ejemplos de tipos de ataques mediante archivos compartidos que aprovechan Microsoft y que esta no detecta, procedentes de evaluaciones rápidas de riesgos recientes realizadas por Proofpoint.
Robo y credenciales que aprovechan Microsoft y que esta no detecta:
Durante la investigación para elaborar el informe El factor humano, Proofpoint descubrió que el uso de CAPTCHA por parte de los ciberdelincuentes se había multiplicado por 50 en un año. En el ataque, que se alojaba en Microsoft y que no detectó durante una prueba de concepto (PoC), un ciberdelincuente utilizó OneDrive y un CAPTCHA para intentar incitar a los usuarios de un buzón de correo compartido a divulgar sus credenciales de acceso a un documento de solicitud.
Este es un ejemplo de un ataque no detectado por Microsoft:
- Entorno: Microsoft 365
- Categoría de amenaza: URL de un sitio de uso compartido de archivos
- Tipo de ataque: robo de credenciales
- Objetivo: buzón de correo compartido
Figura 3. Se dirige a los usuarios a una página de OneNote que contiene un enlace a un documento falso de Word. Cuando hacen clic en el enlace, aparece un CAPTCHA. Al marcar la casilla, se les dirige a una página de Microsoft falsa para intentar apoderarse de sus credenciales.
Anatomía del ataque:
El ciberdelincuente se hizo pasar por un proveedor externo enviando una solicitud al buzón de correo compartido de una operadora de telecomunicaciones para intentar robar las credenciales. En nuestra evaluación de riesgos con ese cliente, le protegimos del ataque después de que no lo detectara la solución de protección del correo electrónico de Microsoft.
Este robo de credenciales no solo eludió los controles de seguridad del correo electrónico nativos de Microsoft, sino que más de un mes después de que denunciáramos el ataque, la página de OneDrive seguía en línea y alojaba activamente contenido malicioso que suplantaba la marca Microsoft con el objetivo de robar credenciales. Se trata solamente de uno de los millones de páginas de uso compartido de archivos fraudulentas en las que Microsoft aloja contenido malicioso cada mes.
Robo de credenciales de Microsoft que no consiguió detectar a través de un sitio web para el uso compartido de archivos legítimo:
El robo de credenciales de Microsoft 365 es una táctica común que los ciberdelincuentes utilizan para intentar comprometer cuentas de los usuarios. Estos ataques son extremadamente peligrosos, ya que el ciberdelincuente suplanta la identidad profesional de su víctima, lo que puede provocar un daño incalculable y el robo de datos y de dinero.
Figura 4. Microsoft no detecta un robo de credenciales suplantando la identidad de su marca a través de un sitio de uso compartido de archivos legítimo.
Este es un ejemplo de un ataque no detectado por Microsoft:
- Entorno: Microsoft 365
- Categoría de amenaza: URL de un sitio de uso compartido de archivos
- Tipo de ataque: Phishing de credenciales
Anatomía del ataque:
Estos temas de ataque (problemas de TI o del correo electrónico) son muy comunes. En este ejemplo, el ciberdelincuente hizo un uso ilegítimo de un sitio web legítimo, SendGrid, para robar credenciales. El ciberdelincuente lanzó el ataque desde un dominio de Microsoft falsificado (onmicrosoft.com) para dar una apariencia legítima a su mensaje, e incluso incluyó Microsoft Corporation en la firma.
En este ataque, el análisis de la reputación realizado por Microsoft no consigue detectar el abuso de los servicios cloud legítimos. Esto es porque la función Vínculos seguros de Microsoft no realiza un análisis predictivo en entorno asilado al hacer clic. Solamente confía en la reputación, por lo que no es capaz de detectar las amenazas inéditas que proceden de servicios de uso compartido de archivos. A pesar de la suplantación de la marca y de las palabras clave, Microsoft no consiguió detectar este mensaje falso de puesta en cuarentena.
El análisis en entorno aislado de URL al hacer clic de Proofpoint utilizó clasificadores de aprendizaje automático para identificar robo de credenciales e impidió el ataque durante nuestra evaluación rápida de riesgos asociados al correo electrónico.
Robo de credenciales que se aprovecha de Microsoft y que esta no detecta:
¿Por qué las funciones de seguridad predeterminadas no son suficientes? Como lo demuestra el siguiente ataque, los ciberdelincuentes son cada vez más creativos. En este ataque, el ciberdelincuente aprovechó no uno sino dos sitios web para el uso compartido de archivos, lanzando un ataque de phishing de Microsoft bajo la apariencia de una cuenta legítima, pero comprometida. Este ataque fue denunciado y bloqueado por Proofpoint, y no solo consiguió eludir la detección de Microsoft, sino también de una solución de protección del correo electrónico basada en API específicamente diseñada para detectar este tipo de amenazas.
Estos son los detalles de este ataque no detectado:
- Entorno: Microsoft 365
- Categoría de amenaza: URL de un sitio de uso compartido de archivos
- Tipo de ataque: Phishing de credenciales
- Objetivo: Agente de préstamos
Figura 5. Los ciberdelincuentes utilizaron dos servicios de uso compartido de archivos para eludir la seguridad de Microsoft.
Anatomía del ataque:
Utilizando una cuenta comprometida de un agente inmobiliario local, el ciberdelincuente envió a un agente de crédito un mensaje reenviado que contenía archivos, probablemente relacionados con una transacción. El servicio de uso compartido de archivos Microsoft OneDrive alojaba un enlace a otro sitio web de uso compartido de archivos, Evernote. Si un usuario hacia clic en el documento de Evernote, lo dirigía a una página falsa de inicio de sesión de OneDrive, donde los ciberdelincuentes podrían robar sus credenciales de Microsoft.
A día de hoy, más de un mes después de que Proofpoint detectara y denunciara este ataque, todas las páginas con enlaces a contenido maliciosos siguen en línea. Como hemos mencionado anteriormente, ni Microsoft ni una solución de protección del correo electrónico basada en API consiguieron detectar esta amenaza. Este ataque ilustra a la perfección la forma en la que los ciberdelincuentes ocultan sus ataques y eluden de esta forma la detección de las soluciones de seguridad predeterminadas y de las aplicaciones de protección del correo electrónico basadas en API. Estos tipos de amenazas que utilizan URL son cada vez más frecuentes.
Cómo bloquea Proofpoint los ataques mediante uso compartido de archivos
Figura 6. La inteligencia artificial y el aprendizaje automático son menos eficaces si los modelos no se complementan con un corpus de datos importante. El gráfico de amenazas Nexus de Proofpoint incluye información sobre la protección contra amenazas de más de 75 empresas de la lista Fortune 100, de más del 60 % de las empresas de la lista Fortune 1000 y de más de 200 000 pymes. De esta forma refuerza la protección de la información y la defensa contra las amenazas cloud.
Proofpoint ofrece una solución global e integrada de protección frente a amenazas avanzadas con múltiples capas de protección para detectar los ataques de uso compartido de archivos. Utilizamos funciones de detección con más de 26 capas de protección contra las amenazas a través del correo electrónico para detectar técnicas avanzadas, como los ataques ocultos, los CAPTCHA o las URL y los archivos y protegidos con contraseña que utilizan los ciberdelincuentes que intentan eludir los controles de seguridad.
Nuestros modelos de aprendizaje automático e inteligencia artificial se nutren de 2600 millones de mensajes de correo electrónico, 1900 millones de adjuntos y más de 49 000 millones de URL al día. Además, nuestra solución de protección de la información incluye información sobre las amenazas contra más de 28,2 millones de cuentas cloud activas, lo que nos proporciona los detalles sobre la forma en la que los ciberdelincuentes intentan añadir carga maliciosa a aplicaciones cloud como las cuentas de uso compartido de archivos.
Figura 7. Para mejorar la detección de todas las amenazas, las funciones de detección de Proofpoint cuentan con más de 26 capas e incluyen pilas de detección avanzadas para las URL, como la protección contra los archivos compartidos con carga maliciosa, los adjuntos maliciosos y los ataques BEC, así como nuestro motor de análisis del comportamiento.
Es importante destacar que Proofpoint habría detectado y bloqueado todos los mensajes de los ejemplos anteriores para evitar que se entregaran.
Recomendaciones para el bloqueo de los ataques de compromiso de cuentas
Proofpoint adopta un enfoque de protección multicapa contra los ataques por uso compartido de archivos con sus plataformas Proofpoint Threat Protection y Proofpoint Information Protection, y ofrece así más capas de protección que otras organizaciones. Entre las capas de nuestra plataforma Threat Protection, se incluyen inigualables funciones de detección, aislamiento, autenticación, formación y corrección automática.
No hay soluciones universales que detengan siempre estas amenazas, razón por la cual se necesita una solución integrada de protección multicapa. Para obtener más información sobre cómo detenemos en su entorno estas amenazas y otras muchas con la plataforma Proofpoint Threat Protection, realice una evaluación rápida y gratuita de riesgos asociados al correo electrónico.