Tecnología
Productos
Industrias
Noticias
Recursos
Empresa
Español
Tecnología
Productos
Industrias
Noticias
Blog
Recursos
Empresa

Cómo un error de Mimecast llevó a comprometer el correo electrónico a gran escala

Dan Fein, Director of Email Security Products

En los últimos años, los ataques por correo electrónico han aumentado rápidamente en volumen y complejidad, con ataques de suplantación de identidad convincentes y bien investigados que acompañan al aumento de casos de robos de cuentas. Su complejidad se ha acelerado particularmente en el transcurso de 2020, con noticias a nivel mundial, y más empresas que adoptan nuevas formas de trabajar, lo que resulta en un lugar fértil para los ataques por correo electrónico.

Con este panorama de amenazas, las herramientas de correo electrónico tradicionales, que crean reglas sobre el aspecto de los correos electrónicos “malos” en función de campañas anteriores, fallan con estos nuevos y complejos correos electrónicos falsos.

Este blog analiza una empresa de logística australiana que tenía Mimecast funcionando en su entorno de Microsoft 365, pero pasó a un enfoque autónomo para la seguridad del correo electrónico cuando la IA de Darktrace detectó un correo electrónico malicioso, considerado benigno por todas las demás herramientas.

La empresa estaba probando Antigena Email la cual se instaló en modo pasivo, lo que significa que no estaba configurado para intervenir activamente. Sin embargo, el panel de correo electrónico nos permite ver qué acciones habría tomado y las consecuencias de depender exclusivamente en las puertas de enlace para detener las amenazas avanzadas.

Sin que la IA actúe, el atacante solo necesitaba infectar un correo electrónico de un empleado para abrirse paso en la empresa. El atacante accedió a varios archivos confidenciales, recopiló detalles de los empleados y las transacciones de tarjetas de crédito, y luego comenzó a comunicarse con otros miembros de la organización, enviando más de doscientos correos electrónicos adicionales para apoderarse de más cuentas de empleados. Esta actividad fue recogida en tiempo real por el módulo SaaS Microsoft 365 de Darktrace.

Detalles del ataque

La empresa estaba bajo el ataque sostenido de un cibercriminal que ya había realizado secuestros de cuentas en varios de sus socios de confianza. Abusando de las relaciones de confianza, el atacante envió varios correos electrónicos personalizados desde las cuentas de estos socios a la empresa australiana. Todos usaron la misma convención en el tema (RFP para [nombre de la empresa comprometida]) y todo parecía ser cosecha de credenciales.

Figura 1: una muestra de los correos electrónicos maliciosos de las cuentas secuestradas: el icono rojo que indica que Antigena Email habría retenido estos correos electrónicos

Cada uno de estos correos electrónicos contenía una carga maliciosa, que era un enlace de almacenamiento de archivos (SharePoint), oculto detrás del siguiente texto. Es probable que el atacante haya hecho esto para evitar el análisis de enlaces de correo. Mimecast reescribió el enlace para su análisis, pero no pudo identificarlo como malicioso.

Figura 2: Darktrace descubre el texto detrás del cual estaba oculto el enlace

Cuando se hace clic en él, el enlace lleva a la víctima a una página de inicio de sesión de Microsoft falsa para recolectar credenciales. Consistía en una réplica precisa de una página de inicio de sesión genuina y enviaba combinaciones de correo electrónico y contraseña directamente al atacante para comprometer aún más la cuenta.

Figura 3: la página de inicio de sesión falsa de Microsoft

Varios empleados leyeron el correo electrónico, incluido el director ejecutivo. Sin embargo, parece que solo a una persona, un gerente general, le pudieron secuestrar los datos de la cuenta de correo electrónico.

100%
Thu Aug 12 2020, 07:06:34
From:Andrew Jennings <[email protected]>
Recipient:Peter Saunderson <[email protected]>
RFP for Holdings Inc
Email Tags
Suspicious Link
New Contact
Actions on Email
Move to Junk
Hold Message
Double Lock Link

Aproximadamente tres horas después de abrir el correo electrónico malicioso, se detectó un inicio de sesión SaaS anómalo en la cuenta desde una dirección IP que no se había visto antes en la empresa.

El análisis de código abierto de la dirección IP demostró que provenía de un proveedor de servicios de Internet fraudulento de alto riesgo, que ejecuta VPN y servidores anónimos, con lo que probablemente así fuera cómo el atacante superó las reglas de delimitación de zonas geográficas.

Poco después, Darktrace detectó que se estaba creando un enlace compartido anónimo de un archivo de contraseña.

Figura 5: módulo SaaS de Darktrace que revela la creación anómala de un enlace

Darktrace mostró que posteriormente la dirección IP anómala accedió a este archivo. Un análisis más profundo mostró que el atacante repitió esta metodología, haciendo públicos recursos previamente protegidos, antes de acceder inmediatamente a ellos públicamente a través de la misma dirección IP. La IA de Darktrace observó que el atacante accedía a información potencialmente confidencial, incluido un archivo que parecía contener información sobre transacciones de tarjetas de crédito, así como un documento que contenía contraseñas.

Figura 6: la consola SaaS de Darktrace muestra la actividad inusual en la cuenta comprometida

Perpetuación del ataque

Al día siguiente, después de que el atacante agotó toda la información confidencial que pudo obtener de la cuenta de correo electrónico comprometida, utilizó esa cuenta para enviar más correos electrónicos maliciosos a socios comerciales de confianza utilizando la misma metodología que antes: enviando solicitudes de propuestas falsas y específicas para comprometer las credenciales. El módulo SaaS de Darktrace identificó este comportamiento anómalo, mostrando gráficamente que el atacante envió más de 1.600 correos electrónicos personalizados en el transcurso de 25 minutos.

Figura 7: una representación gráfica de la explosión de correos electrónicos enviados durante un período de 25 minutos

Por qué se necesita la IA para combatir las amenazas modernas del correo electrónico

Para la empresa de logística en cuestión, este incidente sirvió como una llamada de atención. El proveedor de servicios de seguridad gestionada (MSSP) que ejecutaba su seguridad en la nube, desconocía por completo la toma de control de la cuenta, que fue detectada por el módulo SaaS de Darktrace. La organización se dio cuenta de que los desafíos de seguridad a los que se enfrentan los correos electrónicos hoy en día requieren de las mejores tecnologías, que no solo evitan que los correos electrónicos de phishing lleguen a la bandeja de entrada, sino que también detectan la apropiación de cuentas y los correos electrónicos salientes maliciosos enviados desde una cuenta infectada.

Este incidente hizo que la organización implementara Antigena Email en modo activo, lo que permitió que la tecnología detuviera las amenazas más sutiles y dirigidas que intentan ingresar a través de la bandeja de entrada, en función de su comprensión contextual y matizada del “patrón de vida” normal para cada usuario y dispositivo.

La realidad, es que todos los días cientos de correos electrónicos como este engañan no solo a los humanos, sino también a las herramientas de seguridad tradicionales. Está claro que cuando se trata del creciente desafío de la seguridad del correo electrónico, ya no es suficiente el status quo. Con la fuerza laboral moderna más dispersa y ágil que nunca, existe una creciente necesidad de proteger a los usuarios remotos en las plataformas de colaboración SaaS, a la vez que es necesario neutralizar los ataques por correo electrónico antes de que lleguen a la bandeja de entrada.

Gracias al analista de Darktrace, Liam Dermody, por la información sobre los descubrimientos de amenazas halladas.

Dan Fein

Based in New York, Dan is the Director of Product. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s world-leading Cyber AI Platform and products. Dan has a particular focus on Antigena Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.