En los últimos meses, los actores de amenazas han dirigido sus ataques a cuentas en la nube de Office 365 y G Suite utilizando el protocolo IMAP para evadir la autenticación multifactor (MFA).
Expertos en seguridad realizaron un estudio de ataques masivos contra cuentas de los principales servicios en la nube. Los ataques contra las cuentas en la nube de Office 365 y G Suite que usan IMAP son difíciles de proteger con la autenticación de múltiples factores, donde las cuentas de servicio y los buzones compartidos son especialmente vulnerables. Al mismo tiempo, los ataques de fuerza bruta dirigidos trajeron un nuevo enfoque a la aplicación tradicional de contraseñas, empleando variaciones comunes de los nombres de usuario y las contraseñas expuestas en grandes volcados de credenciales para comprometer las cuentas.
Se analizaron más de cien mil inicios de sesión no autorizados en millones de cuentas de usuarios monitoreadas en la nube, por debajo de los hallazgos clave del estudio:
- El 72% fueron atacados al menos una vez por actores de amenazas.
- El 40% tenían al menos una cuenta comprometida en su entorno.
- Más del 2% de las cuentas de usuario activas fueron atacadas por actores maliciosos.
- 15 de cada 10.000 cuentas de usuario activas fueron violadas exitosamente por los atacantes.
El objetivo principal del atacante es realizar phishing interno, especialmente cuando el objetivo inicial no tiene el acceso necesario para transferir dinero o datos. El acceso a una cuenta en la nube podría ser explotado por atacantes para movimientos laterales y para expandir puntos de apoyo dentro de una organización a través de phishing y BEC (Business Email Compromise). Los expertos observaron que las cuentas comprometidas también se utilizan para lanzar ataques externos.
Dando un vistazo a las fuentes de los ataques, la mayoría de ellos provienen de direcciones IP de Nigeria (40%), seguidas de direcciones IP de China (26%).
Según el estudio, IMAP fue el protocolo más vulnerado. IMAP es un protocolo de autenticación heredado que omite la autenticación multifactor (MFA). Los ataques realizados a este tipo, evitan el cierre temporal de la cuenta y los intentos de inicio de sesión fallidos quedan aislados y, por esta razón, son difíciles de detectar.
REFERENCIA
COMENTARIOS