Tecnología
Productos
Recursos
Empresa
Español
Tecnología
Productos
Blog
Recursos
Empresa

Los hallazgos en correos electrónicos de Darktrace: La suplantación de Siemens le cuesta a una institución académica 60.000 dólares

Dan Fein, Director of Email Security Products

Introducción

Muchas organizaciones recurren a la IA para aumentar la seguridad de su correo electrónico solo después de que un ataque dañino les sirva como llamada de atención. Tal fue el caso reciente de una institución académica en la región de APAC. La organización se sentía completamente protegida en ese momento, con protección contra spam, protección de URL y el paquete completo Mimecast en todo el ámbito del correo electrónico. Sin embargo, estaban interesados en comprender cómo la Cyber AI podía defender su bandeja de entrada y programaron una reunión para obtener más información.

Dos días antes de que tuviera lugar esa reunión, la empresa se vio afectada por un correo electrónico infectado. El atacante se había apoderado de una cuenta interna de Microsoft 365 y envió una factura fraudulenta al departamento de contabilidad de la organización. La factura, que contenía detalles bancarios sutilmente editados, decía ser de Siemens, una de las empresas de tecnología de automatización líder en el mundo. Dado que Siemens era un proveedor respetado, el ataque tuvo éxito y la institución académica pagó más de 60.000 dólares a la cuenta bancaria del atacante.

El incidente alertó a esta organización no solo sobre la escala y gravedad de los ataques por correo electrónico, sino también sobre las limitaciones en sus herramientas de seguridad existentes. El equipo de seguridad instaló rápidamente Antigena Email, y la capacidad de la IA para neutralizar los ataques avanzados que otras herramientas no detectaron y fue evidente de inmediato cuando el atacante volvió a intentarlo una semana después.

En esta ocasión, con la IA ahora puesta en marcha, un comportamiento inusual en la cuenta SaaS comprometida junto con actividad sospechosa del correo electrónico, hizo que se activaran varios modelos de Darktrace, que culminaron con una puntuación de anomalía del 73% y la decisión de retener de forma autónoma el correo electrónico infractor. A continuación, se detalla la línea de tiempo de este ataque y cómo Darktrace pudo identificarlo en donde otras herramientas de seguridad fallaron.

Paciente cero: la infección inicial

Darktrace detectó por primera vez que algo andaba mal cuando observó un inicio de sesión SaaS desde una dirección IP inusual ubicada en los Emiratos Árabes Unidos.

Mar 21 abril 04:15:40 (hora local)

Luego, notó un comportamiento comúnmente asociado con una cuenta de correo electrónico empresarial intervenida: la creación de una regla de procesamiento de la bandeja de entrada para que cualquier correo electrónico entrante del proveedor se elimine y se redirija al agente responsable de la amenaza.

Mar 21 de abril 05:04:21

Mar 22 abril 16:51:14

Figura 1: Darktrace detecta la regla de la bandeja de entrada del correo electrónico anómalo, lo que indica una actividad anómala del 97-100%

Esta usurpación de la cuenta condujo a una campaña de spear phishing muy dirigida. El atacante encontró una cadena de correo electrónico auténtica correspondiente con una factura del dominio siemens.com. Utilizando la reputación del proveedor de confianza, copiaron el formato exacto de la factura y luego crearon un dominio falsificado “siemesm.com”, con la intención de apuntar al equipo de contabilidad de la organización con una factura nueva, pero con un detalle importante modificado: los datos bancarios.

El atacante fue cuidadoso. Antes de lanzar el ataque, enviaron un correo electrónico de prueba a la cuenta comprometida para asegurarse de que estaba funcionando. Como se ve a continuación, esto alertó a Antigena Email con una puntuación de anomalía del 38%.

La factura fraudulenta

A la mañana siguiente, el atacante estableció una correspondencia falsa entre la cuenta recién creada y el Paciente Cero, antes de ingresar al equipo de contabilidad con una nueva solicitud, esta vez pidiendo 78.000 dólares. Una vez más, el intercambio parecía legítimo: de un proveedor conocido y con la aparente ratificación de un colega de confianza.

Figura 2: Antigena Email detecta los correos electrónicos anómalos, con el icono rojo de retención que indica que retuvo los correos electrónicos del destinatario

Aquí, podemos ver que Antigena Email aumenta gradualmente, a lo largo del tiempo, las sospechas de este comportamiento inusual, con el ícono de “hold” resaltado que indica que Antigena Email evitó que se entregaran los dos correos electrónicos maliciosos. La alta puntuación de anomalía se vio influenciada no solo por la falta de correspondencia previa entre los dos usuarios de correo electrónico, sino también por las reglas de correo electrónico que se establecieron en la cuenta el día anterior. Además, la Cyber AI reconoció el correo electrónico como una respuesta falsa: no una respuesta directa al correo electrónico, sino una que intentó replicar copiando y pegando correspondencia de una cadena de correo electrónico independiente.

Al darse cuenta de que su ataque inicial había fallado, el atacante aprovechó una técnica conocida como “island hopping”, que recolecta la lista de contactos de toda la empresa y lanza una campaña de phishing más genérica para docenas de usuarios de correo electrónico en toda la empresa, esperando a su vez infectar sus cuentas.

Figura 3: una selección de los correos electrónicos enviados desde la cuenta inicialmente infectada

Una vez más, Antigena Email consideró que cada uno de estos correos electrónicos eran 100% anómalos y los retuvo en todos los casos.

Si bien este fue un ataque relativamente avanzado con múltiples etapas, las técnicas descritas anteriormente no son excepcionales, Antigena Email detiene este tipo de ataques a diario, en cientos de organizaciones en todo el mundo.

Al implementar la Cyber AI en sus entornos de correo, los defensores no solo ven el flujo de correo interno y externo, sino que también tienen la capacidad de detener ataques dirigidos y complejos, mucho antes de que puedan convertirse en una crisis.

Conozca más sobre Antigena Email

Dan Fein

Based in New York, Dan joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s product suite. Dan has a particular focus on Darktrace for Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.