Tecnología
Productos
Recursos
Empresa
Español
Tecnología
Productos
Blog
Recursos
Empresa

Autenticación de dos factores (2FA) comprometida: Robo de la cuenta de Microsoft

Max Heinemeyer, Director of Threat Hunting | jueves 18 de febrero de 2021

Casi un tercio de las empresas ahora confían en la autenticación de dos factores (2FA). Requiere que un usuario presente más de un método de identificación al iniciar sesión en una cuenta. Esto evita que los ciberdelincuentes simplemente utilicen credenciales de contraseña para hackear un sistema; en su lugar, se requieren capas de seguridad adicionales, como datos biométricos (inherencia), información personal (conocimiento) o un código enviado a su teléfono o correo electrónico (posesión), para obtener acceso a una cuenta. Pero, ¿qué sucede cuando el proceso 2FA en sí se ha visto atacado?

Darktrace observó recientemente este mismo escenario cuando una cuenta de Microsoft 365 fue secuestrada y el atacante cambió temporalmente la configuración de autenticación para que los códigos SMS se enviaran a su teléfono. El ataque intentó mezclarse con la actividad del usuario y pasar desapercibido. Sin embargo, Darktrace pudo identificar el ataque de la cuenta a partir de anomalías sutiles en el comportamiento del usuario, como inicios de sesión sospechosos, creaciones inusuales de reglas de correo electrónico y eliminaciones de archivos.

Se ha visto un fuerte aumento en estos ataques basados en SaaS, lo que no es sorprendente ya que las empresas confían cada vez más en las plataformas SaaS para realizar sus negocios a distancia. Microsoft 365 ahora se usa regularmente en todas las organizaciones para correo electrónico, administración de usuarios, almacenamiento y uso compartido de archivos. Este fenómeno ha ampliado la superficie de ataque y ofrece grandes oportunidades para los ciberdelincuentes. Las plataformas SaaS a menudo están aisladas y los equipos de seguridad tienden a carecer de visibilidad sobre ellas y les cuesta correlacionar los eventos en estas múltiples plataformas.

Darktrace Cyber AI protege todo el entorno SaaS, proporcionando una cobertura completa sobre las plataformas Microsoft 365 y Azure. En este caso, el cliente usaba el módulo de Microsoft 365. A pesar de que el ataque eludió todas las demás herramientas de seguridad, fue identificado por el conector Microsoft 365 de Darktrace e investigado por Cyber AI Analyst, la primera tecnología de investigación de inteligencia artificial del mundo, que clasifica, interpreta e informa automáticamente sobre el alcance completo de los incidentes de seguridad.

Cómo una cuenta de Microsoft fue atacada a través de 2FA

Se vio comprometida una cuenta que pertenece a un usuario del equipo financiero de una empresa con alrededor de 10.000 usuarios de Microsoft 365. La infección inicial probablemente ocurrió porque el empleado había hecho clic en un enlace malicioso en un correo electrónico de phishing.

Figura 1: cronología del ataque

Darktrace comenzó a detectar inicios de sesión sospechosos en la cuenta de Microsoft 365 desde ubicaciones inusuales en los EE. UU. y Ghana. Estos inicios de sesión pasaron con éxito la seguridad de autenticación de múltiples factores (MFA), ya que el atacante había manipulado sutilmente los detalles del usuario, modificando el número de teléfono registrado para que el mensaje de texto de autenticación llegara directamente a ellos.

Figura 2: la consola SaaS dedicada de Darktrace muestra una actividad inusual en Microsoft 365

2FA puede verse comprometido usando varias tácticas. Puede ser hackeado mediante un ataque de intercambio de SIM o mediante el uso de una aplicación OAuth maliciosa. Un atacante podría incluso recurrir a un ataque de phishing o de ingeniería social y trabajar en tiempo real para usar la contraseña de un solo uso al mismo tiempo que la víctima la ingresa en la página de phishing.

Tras los inicios de sesión inusuales, Darktrace observó que el atacante había cambiado las reglas de correo electrónico para la cuenta del usuario comprometido, así como varias bandejas de entrada compartidas, incluida una relacionada con el departamento financiero de control de crédito.

Durante este tiempo, se vio al atacante accediendo a varios correos electrónicos en la bandeja de entrada del usuario atacado. Es posible que el atacante haya estado revisando la bandeja de entrada en busca de datos confidenciales o familiarizándose con la actividad normal y el estilo de escritura del usuario, lo que le permitió crear correos electrónicos de phishing creíbles haciéndose pasar por el propietario de la cuenta. El atacante también eliminó varios correos electrónicos de ese usuario en un intento de cubrir sus huellas.

Si bien el resto del portafolio de seguridad de la organización no vio esta amenaza, el conector de Microsoft 365 de Darktrace detectó el comportamiento anómalo y lanzó una investigación automatizada con Cyber AI Analyst. Luego, el equipo de seguridad respondió, antes de que el atacante pudiera vulnerar por completo algunos de los buzones de correo compartidos críticos.

Si el hacker hubiese podido continuar, pudo haber accedido a la propiedad intelectual (IP) y a datos financieros confidenciales de la organización y sus clientes. Esto podría haber servido como munición para futuras solicitudes de pago fraudulentas, que se sabe que cuestan a las organizaciones decenas de miles de dólares.

Cyber ​​AI Analyst investiga la amenaza

Cyber AI Analyst, formado por cientos de ciberanalistas expertos, lleva a cabo investigaciones autónomas sobre la gama completa de amenazas, incluido el ataque de la cuenta SaaS. En este caso, unió el inicio de sesión anómalo y el comportamiento del usuario y generó un resumen en lenguaje natural del incidente, listo para su revisión. A un humano le hubiese tomado un promedio de tres horas revisar esto. Sin embargo, Cyber AI Analyst lo hizo en cuestión de segundos, lo que le permitió ahorrar un 92% de tiempo.

Figura 3: una demostración de cómo Cyber AI Analyst informa sobre inicios de sesión inusuales y acceso a archivos

Conclusiones finales

El personal distribuido está más disperso que nunca, y depende de las aplicaciones SaaS y los sistemas de IT en expansión para alojar datos valiosos. En este mundo globalizado digitalmente, la ciberseguridad también debe ser extendida, proporcionando una visibilidad total en todo el entorno digital.

Este ciberataque fue dirigido y sofisticado. El ataque había utilizado credenciales comprometidas, por lo que no se observó actividad por fuerza bruta antes de los inicios de sesión exitosos. Además, el atacante pasó la autenticación de dos factores, así como también cubrió sus pasos a través de correos electrónicos eliminados y se mezcló con la actividad del usuario legítimo.

Darktrace AI, sin embargo, detectó las anomalías sutiles en el comportamiento del usuario y, por lo tanto, identificó que había una presencia no deseada en el entorno. Darktrace puede cubrir ataques en la nube y SaaS durante todo el ciclo de vida del ataque, desde un correo electrónico de spear phishing inicial hasta la toma de control total de la cuenta, incluso cuando otros métodos de seguridad, como 2FA, se han visto atacados. En estos ataques, la detección temprana y la respuesta son clave. Las repercusiones pudieron haber sido financieras y de reputación significativas si Darktrace no hubiera detectado el ataque.

Gracias a la analista de Darktrace Brianna Leddy por sus conocimientos sobre el hallazgo de amenazas anterior.

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.