Los ataques informáticos se han convertido en una constante amenaza para individuos y corporaciones por igual. Recientemente, se ha identificado una campaña de seguridad en curso que pone en la mira a ejecutivos y altos cargos empresariales, apuntando específicamente a cuentas de Microsoft Azure.
A finales de noviembre de 2023, se detectó una campaña de phishing que comprometió cientos de cuentas de usuarios en numerosos entornos de Microsoft Azure, incluyendo las de ejecutivos de alto nivel.
Los piratas informáticos dirigen sus ataques hacia las cuentas de ejecutivos debido a su potencial acceso a información corporativa confidencial, la capacidad de aprobar transacciones financieras fraudulentas y la habilidad de acceder a sistemas críticos, los cuales pueden ser utilizados como punto de partida para lanzar ataques más amplios contra la organización atacada o sus asociados.
El equipo de respuesta de seguridad en la nube de Proofpoint, que ha estado monitoreando la actividad maliciosa, ha emitido hoy una alerta destacando los señuelos utilizados por los actores de amenazas y sugiriendo medidas de defensa específicas.
Conoce más sobre: Desvelando los Ataques de Secuestro de Sesión
Los ataques se valen de documentos enviados a objetivos que contienen enlaces disfrazados como botones "Ver documento", los cuales dirigen a las víctimas hacia páginas de phishing.
Según análisis, los mensajes están dirigidos a trabajadores que probablemente poseen privilegios más elevados dentro de su organización, lo que incrementa el valor de un compromiso exitoso de la cuenta.
"La gama de usuarios afectados abarca diversos roles, con objetivos comunes que incluyen directores de ventas, gerentes de cuentas y gerentes financieros. Además, individuos en puestos ejecutivos como vicepresidentes de operaciones, directores financieros y tesoreros, así como presidentes y CEOs, también fueron blanco", se explica.
Los investigadores identificaron una cadena de agente de usuario de Linux que los atacantes emplean para obtener acceso no autorizado a las aplicaciones de Microsoft 365:
"Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36"
Este agente de usuario ha estado implicado en diversas actividades posteriores al compromiso, como la manipulación de la autenticación multifactor (MFA), la extracción de datos, el phishing tanto interno como externo, el fraude financiero y la creación de reglas de ofuscación en los buzones de correo.
Se ha observado acceso no autorizado a los siguientes componentes de Microsoft 365:
Incidentes de alteración de MFA
Asimismo, se informa que la infraestructura operativa de los atacantes incluye servidores proxy, servicios de alojamiento de datos y dominios secuestrados, con los servidores proxy siendo seleccionados cerca de los objetivos para evitar bloqueos geográficos.
Aunque no hay conclusiones definitivas, se han observado indicios que sugieren que los atacantes podrían estar basados en Rusia o Nigeria, basándose en el uso de ciertos proveedores locales de servicios de Internet de línea fija.
Conoce más sobre: Azure Security Center: Protege tus Recursos en Azure
Aquí, te recomendamos estrategias defensivas para resguardarte de la campaña activa, mejorando así la seguridad en entornos de Microsoft Azure y Office 365.
Te podrá interesar: Protegiendo tu Empresa de los Ataques de Phishing por Emails
Estas medidas pueden ayudar a detectar incidentes tempranamente, responder rápidamente y minimizar las oportunidades y los tiempos de permanencia de los atacantes tanto como sea posible.
La campaña de hijacking de cuentas de Microsoft Azure sirve como un recordatorio crítico de que en el ámbito de la ciberseguridad, la vigilancia constante es clave. Aunque las plataformas y proveedores de servicios en la nube como Microsoft tienen la responsabilidad de asegurar sus infraestructuras, los usuarios y las organizaciones también deben adoptar prácticas de seguridad sólidas para proteger sus propios datos y recursos.
La colaboración entre proveedores de servicios, usuarios y expertos en seguridad es fundamental para desarrollar un ecosistema digital más seguro. A medida que las amenazas evolucionan, también debe hacerlo nuestra comprensión y nuestras estrategias de defensa. Estar informado, preparado y proactivo son los pilares para navegar con éxito en el complejo panorama de la ciberseguridad actual.
En conclusión, la campaña de hijacking en curso es un llamado a la acción para todos los usuarios de Microsoft Azure y otros servicios en la nube. Adoptar medidas de seguridad robustas, estar alerta frente a posibles ataques y educar a aquellos a nuestro alrededor son pasos esenciales hacia la construcción de un entorno digital más seguro para todos.