El equipo de Inteligencia de Seguridad de Microsoft ha investigado un ataque de compromiso de correo electrónico empresarial (BEC) y descubrió que los atacantes se mueven tan rápido que, en algunos de los pasos tan solo tardan unos minutos.
Los ataques al correo electrónico corporativo son cada vez más frecuentes y las técnicas empleadas más sofisticadas y rápidas de llevar a cabo. Así lo confirma Microsoft tras una investigación en la que ha constatado la rapidez con la que se mueven los ciberdelincuentes.
Todo el proceso, desde el inicio de sesión con credenciales comprometidas hasta el registro de dominios de typosquatting, cuando un usuario acaba en una página web que no es la que estaba buscando al teclear mal una URL en su navegador, solo llevó a los ciberdelincuentes un par de horas.
Esta rápida progresión del ataque garantiza que los objetivos tendrán una oportunidad mínima de identificar signos de fraude y tomar medidas preventivas.
Los ataques BEC (Business Email Compromise), es decir, de compromiso del correo electrónico corporativo, son un tipo de ciberataque en el que el atacante obtiene acceso a una cuenta de correo electrónico de la organización objetivo a través de phishing, ingeniería social o compra de credenciales en la ‘dark web’.
Posteriormente, el atacante se hace pasar por una persona de confianza, como un alto directivo o un proveedor, para engañar a un empleado que trabaja en el departamento financiero. Mediante ingeniería social, consigue engañarlo para que apruebe una solicitud de transferencia bancaria fraudulenta.
Según datos del FBI, desde junio de 2016 hasta julio de 2019, los ataques de BEC generaron pérdidas por más de 43.000 millones de dólares.
Cronología de un ataque de compromiso del correo electrónico
De acuerdo con los analistas de Microsoft, el ataque BEC que investigaron empezó cuando un actor de amenazas realizó un ataque de phishing de tipo ‘ataque de intermediario’ (AiTM) para robar la cookie de la sesión del objetivo, sin pasar por la protección MFA.
El atacante inició sesión en la cuenta de la víctima el 5 de enero de 2023 y pasó dos horas buscando en el buzón hilos de correo electrónico para secuestrar.
El secuestro de hilos de correo es una técnica muy eficaz que hace parecer que el mensaje fraudulento es una continuación de un intercambio de comunicación ya existente. Esto hace que los destinatarios tengan confianza en el mensaje.
Después, el ciberdelincuente registró dominios engañosos usando caracteres homoglíficos para que parecieran casi idénticos a los sitios de la organización objetivo del ataque y el partner suplantado.
Cinco minutos después, el atacante creó una regla en la bandeja de entrada para desviar correos electrónicos de la organización a una carpeta específica.
Un minuto después, envió un correo electrónico malicioso al partner solicitando un cambio en la instrucción de una transferencia bancaria e inmediatamente eliminó el mensaje enviado para reducir la probabilidad de que el usuario comprometido descubriera la infracción.
Detección rápida de ataques BEC
Desde el primer inicio de sesión hasta la eliminación del correo electrónico enviado, habían pasado un total de 127 minutos.
Microsoft 365 Defender generó una advertencia sobre el fraude financiero 20 minutos después de que el actor de amenazas eliminara el correo electrónico enviado e interrumpiera automáticamente el ataque al deshabilitar la cuenta del usuario.
Según la compañía, «en nuestra prueba y evaluación de las detecciones y acciones de BEC en entornos de clientes que se enfrentan a escenarios de ataques del mundo real, las organizaciones estaban mejor protegidas cuando Microsoft 365 Defender deshabilitaba automáticamente las cuentas».
Estas capacidades de interrupción automática dejan al equipo del SOC el control total para investigar todas las acciones realizadas por Microsoft 365 Defender y, cuando sea necesario, reparar los activos restantes que puedan estar afectados.
Según Microsoft, su producto de seguridad ha interrumpido 38 ataques BEC dirigidos a 27 organizaciones que utilizan soluciones de detección y respuesta extendida (XDR) de alta confianza en endpoints, identidades, correo electrónico y aplicaciones SaaS.
