Los autores de amenazas han seguido la migración empresarial a la nube. Ponen en riesgo y toman el control de las cuentas de los usuarios para moverse lateralmente dentro de una organización, robar datos o comunicarse con sus socios comerciales y clientes, solicitando transferencias bancarias fraudulentas. Utilizan su infraestructura de nube y correo electrónico para alojar y distribuir contenido malicioso. Los atacantes aprovechan los contactos de los usuarios y estudian sus correos electrónicos para comprender las relaciones de confianza y hacer un mapa detallado de las organizaciones. Sacando provecho a la forma en que trabajan actualmente los empleados, como el intercambio de archivos, los ataques pueden ser más efectivos que nunca. De hecho, un informe de Proofpoint ha puesto de manifiesto que los usuarios son siete veces más propensos a hacer clic en enlaces maliciosos de SharePoint Online y OneDrive alojados en dominios legítimos de Microsoft.
En el primer semestre de 2020, Proofpoint detectó 5,9 millones de mensajes de correo electrónico que contenían enlaces maliciosos de SharePoint Online y OneDrive. Y aunque este volumen de mensajes supone aproximadamente el 1% del total de mensajes que contienen URLs maliciosas, representan más del 13% de los clics de los usuarios. Los usuarios fueron cuatro veces más propensos a hacer clic en enlaces maliciosos de SharePoint, y 11 veces más propensos a hacer clic en enlaces maliciosos de OneDrive. La investigación de Proofpoint también ha puesto de manifiesto que los mensajes se distribuyeron desde más de 5.500 dominios comprometidos, lo que supone una gran parte de la base de clientes empresariales de Microsoft.
Vínculos maliciosos de SharePoint / OneDrive y ciclo de vida de adquisición de cuentas
El phishing de SharePoint generalmente comienza con el compromiso de la cuenta en la nube. Una vez conseguido el control de la cuenta, el atacante carga un archivo malicioso y luego cambia los permisos de uso compartido del archivo a «Público» para que el nuevo enlace anónimo pueda compartirse con cualquier persona. El atacante envía el enlace por correo electrónico o comparte el enlace con los contactos del usuario u otras cuentas específicas, internas o externas. Cuando los destinatarios abren el archivo y hacen clic en el enlace malicioso insertado, son víctimas de phishing, y esto vuelve a iniciar todo el ciclo nuevamente. Estos ataques pueden generar un robo de datos o diferentes formas de fraude electrónico, como el fraude en la cadena de suministro.
Ejemplo de PDF:
En el siguiente ejemplo, un usuario recibe un correo electrónico con un enlace compartido a un archivo PDF (INV_1100110.pdf), que parece una factura. Cuando hace clic en el enlace del archivo PDF, se le dirige a un sitio de phishing que es una página de inicio de sesión de OneDrive falsa.
A veces, el enlace que contiene el documento compartido puede ser una URL de redireccionamiento que es única y, por lo tanto, puede ser difícil de detectar, ya que no aparecería en ningún repositorio de reputación de URLs.
Ejemplo de OneNote:
A continuación, se muestra un ejemplo de un ataque que usa SharePoint para alojar un archivo de OneNote malicioso que se hace pasar por correo de voz:
Los archivos maliciosos de OneNote también pueden suponer un desafío, ya que no se pueden descargar ni almacenar en una sandbox. La detección requiere un paso adicional: la extracción de datos web (web-scraping) antes de analizar los enlaces incrustados.
Ejemplo de Microsoft Forms:
En este ejemplo, el ciberdelincuente comparte un documento de Word con un enlace a un archivo de Microsoft Forms compartido públicamente (la página de inicio de sesión falsa), que se utiliza para recopilar las credenciales de Office 365. Dado que este ataque utiliza servicios legítimos de Microsoft y es pura ingeniería social, es más complicado de detectar y aún más difícil de bloquear por parte de aquellas compañías que carecen de visibilidad en los entornos de correo electrónico y nube.
También hemos observado que algunos atacantes alojan contenido malicioso en una cuenta comprometida en un dominio, y utilizan la cuenta comprometida de un VIP de otro dominio. Compartir el enlace malicioso desde la cuenta del usuario adecuado aumenta las posibilidades de éxito de los atacantes. Además, incluso si se descubre la cuenta comprometida en el segundo dominio, el archivo malicioso alojado en el primero no se eliminaría. Y así, el ataque persistiría.
Top 10 dominios de servicios colaborativos con enlaces maliciosos en los que se hace clic
SharePoint Online y OneDrive no son los únicos dominios de servicios colaborativos utilizados por los atacantes. El siguiente gráfico muestra la lista de los 10 principales dominios, ordenados por el número de clics en enlaces maliciosos alojados en ellos durante la primera mitad de 2020. Uno de los más destacados es Sway, la nueva aplicación de Microsoft para crear y compartir contenido interactivo, como informes y boletines. Destaca también Googleapis, un servicio de alojamiento de archivos (como un parche de software) que usan los atacantes para estafas de soporte.
Defensa contra amenazas híbridas de correo electrónico y nube
Para defenderse de ataques híbridos, como el phishing que utiliza alojamiento en SharePoint y OneDrive, las organizaciones deben obtener visibilidad sobre los vectores de amenazas de nube y de correo electrónico, y abordar la cadena de ataque de manera integral. Deben conocer cuáles son sus personas muy atacadas (VAP) y los riesgos que representan para su organización:
- ¿Quiénes son blanco prioritario de las amenazas?
- ¿Qué técnicas se están utilizando para atacar a estos usuarios?
- ¿Quién ha hecho clic en enlaces maliciosos?
- ¿Qué usuarios son más propensos a hacer clic?
- ¿Qué cuentas están comprometidas en la organización?
- ¿Cuáles de las cuentas comprometidas muestran actividad de archivos sospechosos?
Proofpoint Targeted Attack Protection y CASB llevan el enfoque de seguridad centrado en las personas de Proofpoint al correo electrónico y la nube y protegen las cuentas en la nube contra este tipo de ataques, utilizando técnicas de análisis avanzado como:
- Aislamiento predictivo de mensajes de correo electrónico con enlaces de servicios de colaboración como SharePoint, OneDrive, Google Drive, Dropbox, etc.
- Reescritura de URLs para proteger a los usuarios en cualquier dispositivo o red, así como para analizar de forma aislada cualquier clic en tiempo real.
- Detección y reparación de cuentas comprometidas.
- Controles de acceso adaptativos que evitan inicios de sesión no autorizados o hacen cumplir la autenticación multifactor a los usuarios con mayor riesgo.
- Detección y mitigación de actividad de buzón y archivo de toma de control de cuenta posterior.
Además, Proofpoint Security Awareness Training ofrece educación dirigida impulsada por inteligencia de amenazas para garantizar la respuesta correcta de sus usuarios cuando se enfrentan a ataques sofisticados como el phishing de SharePoint y OneDrive.