Tecnologia
Prodotti
Risorse
Azienda
Italiano
Tecnologia
Prodotti
Blog
Risorse
Azienda

Come l’assenza di Mimecast ha portato a una compromissione della posta elettronica su larga scala

Dan Fein, Director of Email Security Products

Negli ultimi anni, gli attacchi e-mail sono aumentati rapidamente in termini di volume e sofisticazione, con attacchi di impersonificazione ben studiati e convincenti che accompagnano sempre più casi di furto di account. La loro sofisticazione ha subito un’accelerazione particolare nel corso del 2020, con notizie pertinenti a livello globale e più aziende che adottano nuovi modi di lavorare che si dimostrano contenuti fertili per gli attacchi e-mail.

In questo panorama di minacce, gli strumenti di posta elettronica tradizionali, che creano regole per l’aspetto delle e-mail "cattive" in base a campagne passate, non hanno queste e-mail false e sofisticate.

Questo blog prende in esame una società di logistica australiana che aveva Mimecast attivo nel suo ambiente Microsoft 365, ma è passata a un approccio autonomo per la sicurezza della posta elettronica quando un’e-mail dannosa, considerata innocua da tutti gli altri strumenti, è stata rilevata dall’AI di Darktrace.

L’azienda stava provando Antigena Email installato in modalità passiva, il che significa che non era configurato per interferire attivamente. Tuttavia, esaminare la dashboard della posta elettronica ci consente di vedere quali azioni avrebbe compiuto la tecnologia, e le conseguenze di fare affidamento esclusivamente sui gateway per fermare le minacce avanzate.

Senza l’AI, compromettere l’account di posta elettronica di un dipendente era tutto ciò di cui aveva bisogno il pirata informatico per continuare a fare progressi in tutta l’azienda. Il pirata informatico ha avuto accesso a diversi file sensibili, raccogliendo dettagli sui dipendenti e sulle transazioni con carta di credito, quindi ha iniziato a comunicare con altre persone nell’organizzazione, inviando oltre duecento ulteriori e-mail per impossessarsi di più account dei dipendenti. Questa attività è stata rilevata in tempo reale dal modulo Microsoft 365 SaaS di Darktrace.

Dettagli dell’attacco

La società è stata sottoposta a continui attacchi da parte di un criminale informatico che aveva già eseguito dirottamenti di account su diversi partner di fiducia. Abusando delle loro relazioni di fiducia, il pirata informatico ha inviato diverse e-mail personalizzate dagli account di questi partner all’azienda australiana. Tutte utilizzavano la stessa convenzione nell’oggetto - RFP per [nome della società compromessa] - e tutte sembravano essere una raccolta di credenziali.

Figura 1: Campione delle e-mail dannose dagli account dirottati; l’icona rossa indica che Antigena Email avrebbe bloccato queste e-mail

Ciascuna di queste e-mail conteneva un payload dannoso, che era un collegamento di archiviazione file (SharePoint), nascosto dietro il testo sottostante. È probabile che il pirata informatico abbia fatto questo per aggirare l’analisi del link di posta. Mimecast ha riscritto il link per l’analisi, ma non è riuscito a identificarlo come dannoso.

Figura 2: Darktrace fa emergere il testo dietro il quale è stato nascosto il link

Una volta fatto clic, il collegamento portava la vittima a una falsa pagina di accesso di Microsoft per la raccolta delle credenziali. Questa era una replica accurata di una pagina di accesso autentica e inviava combinazioni di e-mail e password direttamente al pirata informatico per un’ulteriore compromissione dell’account.

Figura 3: La falsa pagina di accesso di Microsoft

Molti dipendenti hanno letto l’e-mail, compreso il CEO; tuttavia, solo una persona, un direttore generale, sembra aver subito il dirottamento del proprio account di posta elettronica da parte del pirata informatico.

100%
Thu Aug 12 2020, 07:06:34
From:Andrew Jennings <[email protected]>
Recipient:Peter Saunderson <[email protected]>
RFP for Holdings Inc
Email Tags
Suspicious Link
New Contact
Actions on Email
Move to Junk
Hold Message
Double Lock Link

Figura 1: Istantanea interattiva dell’interfaccia utente di Antigena Email

Circa tre ore dopo l’apertura dell’e-mail dannosa, è stato rilevato un accesso SaaS anomalo sull’account da un indirizzo IP non visto prima in tutta l’azienda.

L’analisi open source dell’indirizzo IP ha dimostrato che si trattava di un ISP ad alto rischio di frode, che esegue l’anonimizzazione di VPN e server: questo potrebbe essere stato il modo in cui il pirata informatico ha superato le regole di geofencing.

Poco dopo, Darktrace ha rilevato la creazione di un link di condivisione anonimo per un file di password.

Figura 5: Il modulo SaaS di Darktrace rivela la creazione anomala di un link

Darktrace ha rivelato che a questo file aveva successivamente acceduto l’indirizzo IP anomalo. Un’analisi più approfondita ha mostrato che il pirata informatico ha ripetuto questa metodologia, rendendo pubblicamente disponibili le risorse precedentemente protette, prima di accedervi subito pubblicamente tramite lo stesso indirizzo IP. L’AI di Darktrace ha osservato che il pirata informatico accedeva a informazioni potenzialmente sensibili, incluso un file che sembrava contenere informazioni sulle transazioni con carta di credito, nonché un documento contenente password.

Figura 6: La console SaaS di Darktrace rivela l’attività insolita sull’account compromesso

Perpetuare l’attacco

Il giorno successivo, dopo che il pirata informatico aveva esaurito tutte le informazioni sensibili che poteva ricavare dall’account di posta elettronica compromesso, ha quindi utilizzato quell’account per inviare ulteriori messaggi di posta elettronica dannosi ad associati aziendali fidati utilizzando la stessa metodologia di prima, inviando RFP false e mirate nel tentativo di compromettere le credenziali. Il modulo SaaS di Darktrace ha identificato questo comportamento anomalo, rivelando graficamente che il pirata informatico ha inviato oltre 1.600 e-mail personalizzate nel corso di 25 minuti.

Figura 7: Una rappresentazione grafica della raffica di e-mail inviate in un intervallo di 25 minuti

Perché l’AI è necessaria per combattere le moderne minacce e-mail

Per la società di logistica in questione, questo incidente è servito da campanello d’allarme. Il Managed Security Service Provider (MSSP) che gestisce la sicurezza del Cloud era completamente all’oscuro del furto dell’account, che è stato rilevato dal modulo SaaS di Darktrace. L’organizzazione si è resa conto che l’attuale sfida alla sicurezza della posta elettronica richiede le migliori tecnologie della categoria in grado non solo di impedire alle e-mail di phishing di raggiungere la posta in arrivo, ma anche di rilevare il furto di account e le e-mail dannose in uscita inviate da un account compromesso.

Questo incidente ha indotto l’organizzazione a implementare Antigena Email in modalità attiva, consentendo alla tecnologia di bloccare le minacce più sottili e mirate che tentano di entrare attraverso la posta in arrivo in base alla sua comprensione sfumata e contestuale del normale “pattern of life” per ogni utente e dispositivo.

La realtà è che centinaia di e-mail come questa non inganna solo gli esseri umani, ma anche gli strumenti di sicurezza tradizionali di tutti i giorni. È chiaro che quando si tratta della crescente sfida alla sicurezza della posta elettronica, lo status quo non è più sufficiente. Con la forza lavoro moderna più dispersa e agile che mai, c’è una crescente necessità di proteggere gli utenti remoti attraverso le piattaforme di collaborazione SaaS, neutralizzando gli attacchi e-mail prima che raggiungano la posta in arrivo.

Grazie all’analista di Darktrace Liam Dermody per le sue intuizioni sulla scoperta della minaccia di cui sopra.

Dan Fein

Based in New York, Dan joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s product suite. Dan has a particular focus on Darktrace for Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.