La campaña maliciosa que afecta a los entornos cloud de Microsoft Azure

La empresa de ciberseguridad y cumplimiento normativo, Proofpoint, revela cómo una nueva campaña maliciosa afecta a cientos de cuentas de usuarios de la nube. Se trata de la plataforma de Microsoft Azure, un servicio que tiene miles de usuarios a nivel global y que ofrece múltiples funciones para empresas. Muchas de estas cuentas han sido vulneradas de forma parcial o completamente mediante el robo de credenciales.

Phishing de credenciales y apropiación de cuentas

Los ciberdelincuentes han usado diversas técnicas de phishing de credenciales y apropiación de cuentas desde noviembre de 2023. Tal parece que estos atacantes han usado como blanco a los altos ejecutivos de empresas encargados de las ventas y de las finanzas. El reporte indica que estas personas usan señuelos personalizados en documentos compartidos para acceder a recursos valiosos que manejan estos ejecutivos.

La empresa ha detectado las técnicas y patrones de comportamiento recurrentes en esta campaña. Tal parece que cada vez usaban un agente de usuario de Linux diferente para introducirse en la aplicación de inicio de sesión OfficeHome. Y, respecto a Microsoft365, usaban esta técnica para tener accesos no autorizados a sus aplicaciones nativas dentro de esa plataforma.

Manipulación de la autenticación multifactor

Tras la entrada inicial, los atacantes realizan actividades no autorizadas, como manipulación de autenticación multifactor, exfiltración de datos y el phishing interno y externo. Luego, el siguiente paso es realizar algún tipo de fraude financiero para posteriormente borrar cualquier evidencia de su actividad fraudulenta. En este punto, es muy posible que los ejecutivos no encuentren respuestas a lo que les acaba de suceder, dada la astucia de los ciberdelincuentes.

Lo que hacen estas personas es tratar con su víctima durante días hasta lograr persuadirlos de realizar algún traspaso de fondos. La apropiación de cuentas del personal de grandes empresas, que no tienen las necesarias medidas de seguridad, es muy sencilla para estos delincuentes. Por lo que, es altamente recomendable informarse sobe como proteger estas cuentas, tanto de correo electrónico como de servicios en la nube.

La infraestructura operativa y posible atribución

Siempre que surge un ataque, las personas suelen preguntarse a través de que medio fue infectado el dispositivo o sistema. Sobre el ataque a Microsoft Azure, los atacantes utilizan proxys, servicios de alojamiento de datos y dominios secuestrados para ocultar ubicación y dificultar su detección. Aunque la campaña no se ha atribuido a ningún grupo conocido, se sugiere que se trate de rusos y nigerianos. Esta especulación se debe a la similitud con ataques anteriores en servicios de la nube perpetuado por estos grupos.

Medidas recomendadas para reforzar la defensa

Para reducir el riesgo, Proofpoint aconseja supervisar cadenas de agente de usuario y dominios, cambios inmediatos de credenciales a usuarios vulnerados y cambiar regularmente contraseñas. Por otro lado, invita a las organizaciones a identificar accesos no autorizados, analizar patrones de ataque iniciales y emplear políticas de corrección automática. La mezcla de todas estas medidas podría reducir la cantidad de tiempo de los atacantes en sus sistemas y prevenir que recursos se vean comprometidos.

Estas medidas cada vez se hacen más necesarias desde que el phishing se ha vuelto una amenaza constante. Según el Informe de Amenazas de Phishing de 2023, de la Anti-Phishing Working Group, las suplantaciones de identidades por email, tuvieron éxito en un 51,7%. Y, justo Microsoft encabeza la lista de las 20 marcas mundialmente reconocidas que recibieron estos ataques. Google es la tercera marca más atacada.

Respecto a estas campañas de phishing, autoridades estadounidenses revelan, que, si bien los ataques son virtuales, su repercusión en los afectados es tangible y perjudicial. En este sentido, el FBI reporta que los ataques al correo electrónico de empresas han generado pérdidas que superan los $50.000 millones a nivel mundial. Es que, esta forma de ataque es una de las más silenciosas, donde, a través de señuelos, los grupos maliciosos obtienen transferencias directas.

Microsoft Azure: la nube para Empresas y desarrolladores

Que los atacantes eligieran Microsoft Azure no es ninguna casualidad. Esta plataforma se ha transformado en una aliada de las empresas que gestionan sus operaciones en la nube, además de miles de desarrolladores de aplicaciones. La razón es que ofrecen la infraestructura necesaria para el almacenamiento, procesamiento y análisis de datos a gran escala. De allí que los ciberdelincuentes sepan que hay mucho material critico de empresas reconocidas.