Tecnología
Productos
Recursos
Empresa
Español
Tecnología
Productos
Blog
Recursos
Empresa

Fraude en la cadena de suministro: Darktrace detecta que el correo electrónico de un proveedor ha sido atacado

Dan Fein, Director of Email Security Products

La toma de control de cuentas en la cadena de suministro (Vendor Email Compromise) es el problema más urgente al que se enfrenta la seguridad del correo electrónico en este momento. Ha habido una ola de ataques de alto perfil a la cadena de suministro y esta tendencia solo aumentará a lo largo de 2021 a medida que los ciberdelincuentes continúen teniendo éxito con tales métodos. Las herramientas de seguridad tradicionales se muestran impotentes a la hora de detener tales ataques dado que los correos electrónicos maliciosos provienen de partners y proveedores confiables y se escabullen por la puerta de enlace.

El reciente ciberataque de SolarWinds muestra cuán devastador puede ser el ataque a la cadena de suministro. Las relaciones con socios de negocio son aun más complejas que nunca, lo que significa que una sola brecha puede afectar a docenas de organizaciones en todos los niveles de una cadena de suministro global, desde pequeñas empresas locales hasta departamentos gubernamentales.

Este blog examina un proveedor externo comprometido que envió correos electrónicos maliciosos a un cliente que estaba probando Antigena Email. A pesar de que los correos electrónicos provenían de una fuente confiable, la tecnología de inteligencia artificial (IA) reconoció un cambio de comportamiento anómalo en comparación con el comportamiento anterior del remitente. Cuando el contacto se dio cuenta de que habían atacado su cuenta y emitió una advertencia por correo electrónico a sus contactos habituales, Antigena reconoció estos correos electrónicos como benignos. Pero a medida que el atacante continuaba enviando correos electrónicos maliciosos desde su cuenta, Darktrace retenía esos correos electrónicos amenazantes, que eludían las otras herramientas de seguridad de la empresa.

Compromiso de la cadena de suministro

Veamos como se llevó a cabo. La empresa en cuestión es uno de los proveedores de bebidas más grandes del mundo con alrededor de 15.000 usuarios de correo electrónico. Tiene una cadena de suministro global en expansión con muchos partners y proveedores de confianza. Después de que uno de estos terceros se vio atacado, los ciberdelicuentes enviaron correos electrónicos de phishing a través de la cadena de suministro para atacar a tantas organizaciones como pudieran. La empresa de bebidas fue uno de los objetivos principales.

La relación de confianza con el tercero se puede ver a través de las etiquetas de correo electrónico de Darktrace, que se aplicaron a los correos electrónicos legítimos anteriores enviados por el proveedor.

Thu Mar 11 2021, 18:50:12
Re: Drinking Vendors
Alessandro Langedijk <[email protected]>
George Torde <[email protected]>
0%
Processed (unread)
Active Conversation
Established Domain
Known Correspondent
Known Domain Relationship
Moderate Communication History

Figura 1: una imagen interactiva de la interfaz de Antigena Email

Poco después de que se viera este correo electrónico legítimo, llegó una ola de nuevos correos electrónicos de la misma cuenta. Usando este tráfico auténtico para su beneficio, el atacante evadió con éxito otras herramientas y se mezcló con comunicaciones legítimas. En los ataques a la cadena de suministro, ese camuflaje es clave para lograr un ataque exitoso.

Sin embargo, debido a pequeños cambios en el comportamiento del remitente en comparación con su historial anterior, Darktrace pudo identificar que la cuenta había sido atacada, lo que se muestra en las etiquetas “Out of Character” y “Suspicious Link”.

Wed Mar 17 2021, 12:39:51
Market Data: Beverages
Alessandro Langedijk <[email protected]>
Rupert Nowers <[email protected]>
100%
Held
Out of Character
Suspicious Link
Established Domain
Known Correspondent
Known Domain Relationship
Moderate Communication History
Hold message
Lock all links
Move to Junk
Anomaly Indicators

The anomaly score assigned to this email was unusually high for this organization. They have never previously sent a link to ows.io.

The email contains a highly suspicious link to a host ows.io. The host has a 100% rarity score based on references in internal traffic, indicating no prior association. The link was hidden from the user and masked by text reading View Engage Data Source Activity. An inducement score of 76% suggests the sender is trying to induce the user into clicking.

Figura 2: una imagen interactiva de la interfaz de Antigena Email

La IA de Darktrace detectó una variedad de anomalías, que incluyen:

  • la fuente del correo electrónico y la ubicación del ingreso de la cuenta
  • la naturaleza de los enlaces y la asociación con la empresa
  • el lenguaje y la intención en el cuerpo del correo electrónico

Estos cambios extremadamente sutiles en el correo electrónico solo pueden detectarse utilizando el sofisticado enfoque de machine learning no supervisado de Darktrace. Al comprender cómo el usuario normalmente actúa e interactúa con usuarios similares y otras organizaciones, la IA de Darktrace puede identificar un comportamiento anómalo que indica la apropiación y el robo de la cuenta.

Análisis del ataque: dudar de lo confiable

En los correos electrónicos, había un enlace que dirigía al usuario a un sitio de almacenamiento de archivos legítimo ("canva.com"), que se estaba utilizando para alojar una carga útil maliciosa. Los ciberdelincuentes suelen utilizar esta táctica para eludir las puertas de enlace de seguridad tradicionales, dado que las puertas de enlace tradicionales no se defienden de los enlaces de almacenamiento de archivos maliciosos mediante comprobaciones de reputación, ya que los dominios en sí son legítimos.

Antigena Email, sin embargo, identificó que este correo electrónico no pertenecía y marcó el correo electrónico como 100% anómalo. La siguiente figura muestra tres de los correos electrónicos maliciosos y las puntuaciones que les asignó el machine learning de Antigena Email. El correo electrónico principal es el del proveedor que envía un correo electrónico a la empresa legítimamente para advertir sobre la cuenta comprometida. A pesar de llegar poco después de los correos electrónicos maliciosos, el correo electrónico recibió solo una puntuación de amenaza del 31%, sin sugerencias de acciones. Esto demuestra cuán valioso es Antigena Email no solo para detener los correos electrónicos maliciosos, sino también para identificar con precisión los correos electrónicos benignos, asegurando que no interfiera con la comunicación legítima.

Wed Mar 17 2021, 16:09:48
Warning: Phishing Mail Active
Alessandro Langedijk <[email protected]>
James Rohan <[email protected]>
31%
Wed Mar 17 2021, 12:39:51
Market Data: Beverages
Alessandro Langedijk <[email protected]>
Rupert Nowers <[email protected]>
100%
Wed Mar 17 2021, 12:39:51
Market Data: Beverages
Alessandro Langedijk <[email protected]>
Elizabeth Walton <[email protected]>
100%
Wed Mar 17 2021, 12:39:51
Market Data: Beverages
Alessandro Langedijk <[email protected]>
James Rohan <[email protected]>
100%

Figura 3: Antigena Email distingue claramente la comunicación benigna de los correos electrónicos perjudiciales

La acción elegida por Antigena Email fue retener los correos electrónicos de la bandeja de entrada por completo, protegiendo al destinatario de cualquier solicitud potencial o intento de llevar las comunicaciones a una plataforma menos segura.

Confianza ciega: el aumento de los ataques de la cadena de suministro

Este año, sin duda, verá cómo el fraude altamente lucrativo en la cadena de suministro seguirá aumentando, ya que los ciberdelincuentes se centran en los eslabones más débiles y apuntan a socios y proveedores para afianzarse en una variedad de organizaciones. De hecho, es probable que este año los ataques a la cadena de suministro se vuelvan más comunes que el fraude dirigidos a los CEOs. Mientras que los altos ejecutivos suelen estar bien protegidos por equipos de seguridad vigilantes, los terceros o proveedores externos ofrecen una gran cantidad de formas de ingresar a una empresa. Los equipos de seguridad son ciegos a los entornos de terceros y las puertas de enlace rara vez marcan los correos electrónicos que provienen de fuentes legítimas.

Antigena Email es la única tecnología de seguridad de correo electrónico que analiza cada correo electrónico individual en el contexto más amplio de la organización, el destinatario y las interacciones pasadas con el remitente, deteniendo los correos electrónicos anómalos enviados con intenciones maliciosas, sin importar quién los haya enviado.

Dan Fein

Based in New York, Dan joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s product suite. Dan has a particular focus on Darktrace for Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.