Ciber criminales omiten MFA en las cuentas en la nube a través del protocolo IMAP



En los últimos meses, los actores de amenazas han estado enfocándose cada vez más en las cuentas de la nube de Office 365 y G Suite que utilizan el protocolo IMAP heredado, en un intento de eludir la autenticación multifactor (MFA), según los informes de Proofpoint.

Los ataques dirigidos a la fuerza bruta han aumentado en sofisticación en los últimos meses, intentando comprometer las cuentas usando variaciones de los nombres de usuario y contraseñas expuestas en grandes volcados de credenciales, y las campañas de phishing continuaron brindando vías adicionales a las cuentas corporativas.

Un análisis de más de cien mil inicios de sesión no autorizados en millones de cuentas en la nube supervisadas reveló que más del 2% de las cuentas de usuario estaban dirigidas, y que 15 de cada 10,000 fueron violadas con éxito.

Según Proofpoint, casi tres cuartos (72%) de los inquilinos del servicio en la nube fueron atacados al menos una vez y el 40% de ellos tenía al menos una cuenta comprometida en su entorno.

Siempre que el objetivo inicial no tenga el acceso necesario para transferir dinero o datos, los atacantes apuntan principalmente a aprovechar las cuentas comprometidas para el phishing interno o los ataques BEC internos, que son más difíciles de detectar en comparación con los intentos de phishing externos.

La firma de seguridad también notó que el 40% de todos los inicios de sesión de atacantes exitosos se originan en las direcciones IP de Nigeria (su número aumentó entre noviembre de 2018 y enero de 2019 en un 65%), seguido de las direcciones IP de China, con un 26%. Los Estados Unidos, Brasil y Sudáfrica también fueron fuentes importantes de ataques.

IMAP surgió como el protocolo heredado más abusado en estos ataques, ya que evita la autenticación multifactorial y permite a los atacantes evitar el bloqueo de cuentas. Las cuentas de servicio y los buzones compartidos son particularmente vulnerables, dice Proofpoint.

La firma de seguridad dice que más de la mitad (60%) de los inquilinos de Microsoft Office 365 y G Suite fueron objeto de IMAP-based password-spraying attacks, lo que resultó en que alrededor del 25% de los inquilinos de Office 365 y G Suite experimentaron una violación exitosa. En general, la tasa de éxito del ataque fue del 44%.

Proofpoint dijo que observó un gran número de campañas de rociado de contraseñas basadas en IMAP entre septiembre de 2018 y febrero de 2019. El diez por ciento de las cuentas de usuario activas en los inquilinos seleccionados se vio afectada y el 1% de las cuentas de usuario específicas se violaron con éxito.

“Los atacantes utilizaron miles de dispositivos de red secuestrados en todo el mundo, principalmente enrutadores y servidores vulnerables, como plataformas operativas de ataque. "Estos dispositivos secuestrados obtuvieron acceso a un nuevo inquilino cada 2.5 días en promedio durante un período de 50 días", informa Proofpoint.

China fue la fuente de la mayoría de los ataques basados ​​en IMAP (53%), seguida de Brasil (39%) y Estados Unidos (31%). Los ataques, sin embargo, a menudo se originaron a partir de múltiples geografías.

Las organizaciones afectadas provienen de diversas industrias y países, y los sectores de K-12 y educación superior son los más vulnerables. Más del 13% de los ataques exitosos fueron dirigidos a instituciones educativas, y el 70% de los inquilinos de todas las instituciones educativas experimentaron violaciones de estos ataques de fuerza bruta basados ​​en IMAP.

Luego de las campañas de phishing por correo electrónico, los actores de amenazas utilizan las credenciales robadas para infiltrarse en las cuentas de aplicaciones en la nube de los usuarios y Proofpoint dice que el 31% de todos los inquilinos de la nube fueron objeto de violaciones originadas por campañas de phishing exitosas. El comercio minorista, las finanzas y la tecnología también se apuntaron.

La mayoría de los ataques (63%) se originaron en las direcciones IP de Nigeria, seguidas por la infraestructura de Sudáfrica (21%) y los Estados Unidos a través de redes privadas virtuales (11%).

“Los atacantes presentan compromisos exitosos en ataques de phishing internos, movimientos laterales en organizaciones y compromisos adicionales en organizaciones externas de confianza. "Las organizaciones necesitan implementar medidas de seguridad inteligentes en capas, incluida la educación del usuario, para combatir estas amenazas en evolución que cada vez tienen más éxito al comprometer las cuentas de la nube de los usuarios", concluye Proofpoint.




Compartir...

Siguenos en twitter: @disoftin

Publicar un comentario

0 Comentarios