Microsoft, el paraíso de los ciberdelincuentes. Serie de artículos de blog.
Esta publicación forma parte de la serie de artículos de blog sobre los ataques por correo electrónico centrados en las personas que Microsoft no consigue detectar debido a las limitaciones inherentes las tecnologías obsoletas asociadas a la seguridad del correo electrónico de Microsoft. Estos ataques cuestan a las organizaciones millones de dólares al año y generan frustración tanto en los equipos de seguridad de la información como en los usuarios.
En esta serie conocerá mejor los ataques que Microsoft no consigue detectar y le explicaremos por qué estos tipos de amenazas escapan a las defensas de protección del correo electrónico de Microsoft. Estas amenazas son las siguientes:
- Business email compromise (BEC)
- Ransomware
- Fraude de proveedores
- Compromiso de cuentas
- Cargas maliciosas en archivos compartidos
Suscríbase a nuestro blog al final de la página para estar informado sobre estos fallos de detección que pueden afectar a su organización. También puede utilizar nuestro proceso de evaluación de amenazas para conocer mejor los riesgos en su organización.
Descripción de los ataques a proveedores
Los timos a proveedores son tácticas sofisticadas y complejas que tienen como objetivo el robo de dinero. Pueden incluir el robo de credenciales y el malware, pero la mayoría de las veces se trata de amenazas BEC. Según el informe sobre ciberdelincuencia en 2020 del Internet Crime Complaint Center (IC3) del FBI, los ataques BEC provocaron el año pasado unas pérdidas de 1900 millones de dólares, la cantidad más alta de todas las ciberamenazas combinadas.
Presentar una factura fraudulenta o desviar un pago a una cuenta bancaria controlada por el ciberdelincuente forman parte de las estrategias de ataques BEC más habituales.
Según estudios realizados por Proofpoint, el 98 % de las 3 000 organizaciones supervisadas recibieron un ataque desde el dominio de un proveedor en un período de siete días. Casi tres cuartos (74 %) de estos ataques fueron de phishing o de impostores. Menos del 30 % de las amenazas enviadas desde dominios de proveedores incluían malware, lo que demuestra que los ciberdelincuentes recurren mucho a técnicas de ingeniería social tipo BEC.
Figura 1. Estadísticas sobre el fraude de proveedores
Millones de ataques BEC al mes
Proofpoint detecta, de media, varios millones de ataques BEC al mes. No todos los ataques implican el compromiso de proveedores. Sin embargo, las campañas de fraude de proveedores pueden tener un impacto importante, ya que se dirigen contra el sector B2B, es decir, entre empresas, en el que los proveedores están habituados a recibir sumas elevadas como pago por bienes y servicios.
Solo el mes pasado y en un conjunto limitado de datos de evaluaciones de amenazas, Proofpoint detectó más de 4800 amenazas BEC, 84 000 adjuntos maliciosos y 168 000 URL peligrosas que habían conseguido eludir las defensas perimetrales de Microsoft. Detectamos, por ejemplo, que:
- Un banco internacional con más de 20 000 empleados recibió más de 1800 amenazas BEC.
- Una empresa de productos de consumo con aproximadamente 9000 empleados recibió más de 8000 URL y adjuntos maliciosos.
- Un grupo de comunicación europeo con 2000 empleados recibió más de 650 amenazas BEC que habían conseguido eludir la seguridad de Microsoft.
Son muchas los casos en los que se ha conocido públicamente que los propios servicios de Microsoft, como OneDrive, alojaban malware de tipo ransomware. Véase la imagen siguiente.
Figura 2. Tuits referidos al alojamiento de malware tipo ransomware por servicios de Microsoft como OneDrive
A continuación examinamos en más detalle algunos tipos de ataques de proveedores no detectados por Microsoft identificados recientemente por evaluaciones de amenazas de Proofpoint.
Fraudes de proveedores no detectados por Microsoft – Ejemplo 1
El fraude de facturas de proveedores es una amenaza habitual en el sector B2B. Aunque las tácticas utilizadas contra los particulares, por ejemplo, el fraude de tarjetas regalos y los señuelos que emplean temas relacionados con la COVID-19 representan un número importante de amenazas BEC, la naturaleza dirigida u oportunista del fraude de proveedores puede generar pérdidas importantes a pesar de tratarse de ataques de bajo volumen.
Descripción de un fraude de facturas de proveedores:
- Entorno: Microsoft 365
- Categoría de amenaza: BEC
- Tipo de ataque: fraude de facturas de proveedores
- Objetivo: distribución de pagos
Figura 3. Ejemplo de fraude de proveedores no detectado por Microsoft
Anatomía del ataque:
Este fraude de facturas de proveedores consiguió eludir los controles nativos de protección del correo electrónico de Microsoft. El impostor, haciéndose pasar por un antiguo empleado que se había incorporado a una organización partner, utilizó una cuenta de Gmail para solicitar información bancaria e intentar cometer un fraude financiero.
La suplantación del nombre, acompañada de un mensaje enviado desde Gmail u otro servicio gratuito de correo electrónico, es una táctica habitual empleada por los ciberdelincuentes para eludir las comprobaciones de autenticación de mensajes con tecnologías como SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail). Los fraudes de proveedores también pueden utilizar URL o adjuntos maliciosos de cuentas comprometidas para acceder a información financiera u otros datos de gran valor.
Fraudes de proveedores no detectados por Microsoft – Ejemplo 2
Los ataques que suplantan la identidad de los proveedores son sin duda peligrosos, pero las cuentas comprometidas pueden provocar un daño incluso mayor. Los usuarios pueden sentirse más inclinados a interactuar con estas amenazas, ya que, incluso después de una inspección más profunda, estos mensajes parecen legítimos puesto que se envían desde un dominio que existe.
Descripción de un ataque con credenciales de una cuenta comprometida:
- Entorno: Microsoft 365
- Categoría de amenaza: robo de credenciales
- Tipo de ataque: phishing a través de proveedor comprometido
- Objetivo: director de proyectos de clientes
Figura 4: La página de inicio de sesión anterior imita una legítima de Microsoft 365, pero Microsoft no consiguió detectarla ni bloquearla antes de que el ataque llegara a un usuario.
Anatomía del ataque:
Este ataque de recopilación de credenciales se envió desde una cuenta legítima comprometida que pertenecía a una empresa de construcción con la que el cliente se comunicaba con regularidad. Como se muestra en la Figura 3, la página suplanta la identidad de la marca Microsoft. El ciberdelincuente intenta de esta forma recopilar las credenciales de conexión de Microsoft 365.
Microsoft no consiguió bloquear este ataque por varias razones:
- El análisis de reputación realizado por Microsoft no detectó la URL. Esta función a menudo tiene problemas para detectar las nuevas URL maliciosas, incluida esta, que suplantaba la identidad de la marca Microsoft.
- Este mensaje se envió desde un dominio legítimo, por lo que el análisis estático de la reputación no identificó al remitente como malicioso.
- El sobre no activó ningún caso de uso de suplantación de identidad evidente.
Fraudes de proveedores no detectados por Microsoft – Ejemplo 3
Este es otro ejemplo de fraude de proveedores reciente que sorteó la seguridad de Microsoft. Se trata de una amenaza mediante un adjunto enviado por una cuenta de proveedor comprometida.
Descripción de una amenaza mediante un adjunto malicioso enviado por una cuenta de proveedor comprometida:
- Entorno: Microsoft 365
- Categoría de amenaza: recopilación de información
- Tipo de ataque: adjunto malicioso
- Objetivo: escondido en copia de carbón oculta (CCO) del mensaje
Figura 5. Ejemplo de ataque Loki Bot no detectado por Microsoft
Anatomía del ataque:
En este ataque enviado desde un cliente comprometido, el mensaje contenía documentos Word que aprovechaban varias vulnerabilidades del Editor de ecuaciones para descargar Loki Bot. Este bot puede robar contraseñas de navegadores, de aplicaciones FTP/SSH y de cuentas de correo electrónico.
Microsoft no consiguió detectar este ataque por varias razones:
- El mensaje procedía de un dominio legítimo, por lo que el análisis estático de la reputación no lo identificó como malicioso.
- El mensaje superó las comprobaciones de autenticación SPF.
- La payload maliciosa utilizaba técnicas de evasión de entornos aislados (sandbox) y de ocultación de archivos.
La solución de seguridad avanzada del correo electrónico de Proofpoint habría detectado y bloqueado esta amenaza. De hecho, Proofpoint habría detectado y bloqueado los mensajes en todos los ejemplos de fraudes de proveedores anteriores que Microsoft no consiguió detectar.
Cómo bloquea Proofpoint los fraudes de proveedores
Proofpoint es el único proveedor que proporciona una solución global e integrada para combatir los fraudes de proveedores. Hemos integrado técnicas de detección multicapa, incluida una nueva plataforma de detección de estafas BEC llamada Supernova, para proteger frente a las amenazas en constante evolución. Esta plataforma emplea telemetría de gateway, análisis de riesgos de cadena de suministro y datos de API procedentes de plataformas de productividad cloud, con el fin de descubrir hasta los ataques de fraude del correo electrónico más sofisticados.
Muestra función Nexus Supplier Risk Explorer, integrada en la solución Proofpoint Email Fraud Defense, también ayuda a las organizaciones a detectar y prevenir los riesgos de fraude de proveedores, incluidos lo que contienen payloads maliciosas. Nuestros incomparables conjuntos de datos, procedentes de fuentes mundiales y del despliegue de nuestras soluciones de protección contra el principal vector de amenazas en más organizaciones de los índices Fortune 100, Fortune 1000 y Global 2000 que ningún otro proveedore de soluciones de seguridad, entrenan a los componentes de aprendizaje automático diseñados para proteger frente a las URL y los adjuntos integrados en Nexus Supplier Risk Explorer.
Figura 6: Nexus Supplier Risk Explorer de Proofpoint identifica los dominios de proveedores y ofrece visibilidad de los proveedores que presentan un riesgo para su empresa
Recomendaciones para el bloqueo de los fraudes de proveedores
Para detener los fraudes de proveedores, Proofpoint adopta un enfoque por capas con nuestra plataforma Proofpoint Threat Protection. Algunas de estas capas incluyen nuestras inigualables funciones de detección, aislamiento, autenticación, formación y corrección automatizada. También utilizamos el aprendizaje automático y una tecnología avanzada de entornos aislados o sandboxing para detener los ataques BEC, el phishing, la usurpación de cuentas y otros tipos de amenazas.
Para obtener más información sobre cómo la plataforma Proofpoint Threat Protection puede bloquear los fraudes de proveedores y otras amenazas contra su entorno, póngase en contacto con nosotros para obtener una evaluación de amenazas gratuita.