Las arañas dispersas se encuentran en los medios de comunicación a raíz de un famoso ataque contra los minoristas británicos Marks, Spencer y la cooperativa, y la cobertura ahora circula en las principales noticias debido a la gravedad de los cientos de millones de colapsos, ya que M&S solo se ha convertido en la pérdida de cientos de millones de ganancias.
Esta cobertura es extremadamente valiosa para la comunidad de seguridad cibernética, ya que crea conciencia de la batalla que los equipos de seguridad luchan todos los días. Pero también creó mucho ruido que puede dificultar el panorama de los paneles.
La historia de los recientes titulares de la campaña contra los minoristas del Reino Unido es el uso de estafas de la mesa de ayuda. Esto generalmente involucra a un atacante que llama a la mesa de ayuda de la compañía con cierta información. Por lo menos, PII, que se hace pasar por la víctima y, a veces, permite contraseñas, trucos de ayuda a los operadores de la mesa para acceder a las cuentas de los usuarios.
Scam de la mesa de ayuda 101
El objetivo de las estafas de HelpDesk es hacer que el operador de servicio de ayuda restablezca sus credenciales y/o MFA para permitir que los atacantes lo controlen, que se utiliza para acceder a sus cuentas. Utilizan una variedad de historias de fondo y tácticas para hacerlo, pero la mayoría de las veces es tan fácil como decir: «Tengo un teléfono nuevo, ¿podría eliminar el MFA existente y permitirme registrar un nuevo MFA?»
A partir de ahí, el atacante envía un enlace de reinicio de MFA por correo electrónico o SMS. Por lo general, esto se envía al número de archivo, por ejemplo, pero en este punto el atacante ya ha establecido confianza y ha omitido el proceso de la mesa de ayuda hasta cierto punto. Entonces, envíe esto directamente al atacante: «¿Puedo enviarlo a esta dirección de correo electrónico?» o «¿Realmente obtuviste un nuevo número también, ¿puedo enviarlo?»
En este punto, es simplemente cuando usa la función de restablecimiento de contraseña de autoservicio en OKTA o Entrra (esto se puede evitar porque hay un factor MFA para verificarlo), y el atacante ha controlado la cuenta.
¿Y la mejor parte? La mayoría de los escritorios de ayuda tienen el mismo proceso para todas las cuentas. No importa a quién esté suplantando o qué cuenta está tratando de restablecer. Por lo tanto, los atacantes están dirigidos a cuentas que probablemente tendrán privilegios de administración de primer nivel. En otras palabras, avanzar con un ataque es trivial, con muchas de las escaladas de privilegios típicas y los movimientos laterales que se eliminan del camino de ataque.
Por lo tanto, las estafas de servicio de ayuda han demostrado ser una forma confiable de evitar MFA y lograr adquisiciones de cuentas. Este es un punto de apoyo para lanzar el resto de los ataques, como el robo de datos, la implementación de ransomware.
No se deje engañar: este no es un desarrollo nuevo
Pero lo que no hemos encontrado en absoluto en el informe es que las arañas dispersas han estado haciendo esto con éxito desde 2022. Vishing (también pidiendo a los usuarios que abandonen su código MFA) ha sido parte del kit de herramientas desde el principio, con ataques tempranos contra Coinbase, incluida alguna forma de ingeniería social basada en la voz contra Twilio, Lastpass, Games de fragmentos y CoinBase.
En particular, todos los ataques de alto perfil contra César, MGM Resort y London Transport llamaron a la mesa de ayuda para restablecer sus credenciales como un vector de acceso inicial.
Caesars fue en agosto de 2023 cuando un hacker se hizo pasar por un usuario de TI y convenció a la mesa de ayuda de outsourcing para restablecer sus credenciales. Luego, los atacantes robaron la base de datos del programa de fidelización del cliente y obtuvieron un pago de rescate de $ 15 millones. MGM Resort estuvo en el resort en septiembre de 2023, y los piratas informáticos utilizaron la información de LinkedIn para restablecer las credenciales de los empleados al hacerse pasar por los empleados, lo que resultó en 6 TB de robo de datos. Después de que MGM se negó a pagar, el ataque finalmente resolvió la demanda de clase con un alto de 36 horas, un golpe de $ 100 millones y un dólar de $ 45 millones. El transporte en Londres en septiembre de 2024 publicó detalles de 5,000 bancos de usuarios, 30,000 miembros del personal asistieron al nombramiento de individuos, necesitaban al personal para verificar su identidad y restablecer sus contraseñas, causando una interrupción significativa en los servicios en línea que duraron varios meses.
Por lo tanto, no solo las arañas dispersas (y otros grupos de amenazas) han utilizado estas técnicas durante un tiempo, sino que la gravedad y el impacto de estos ataques han aumentado.
Evite los gotchas de la mesa de ayuda
Hay muchos consejos para asegurar una mesa de ayuda, pero muchos de los consejos aún resulta en procesos que se pueden pescar o difíciles de implementar.
En última instancia, las organizaciones deben prepararse para introducir la fricción en los procesos de su mesa de ayuda, retrasar o negar las solicitudes en situaciones en las que existe un riesgo significativo. Entonces, por ejemplo, tiene el proceso de reinicio de MFA que reconoce los riesgos asociados con el reinicio de una cuenta altamente soberana:
Se requiere la escalada de aprobación de la cuenta de niveles múltiples/a nivel de administrador. Si se encuentra con un comportamiento sospechoso y no puede seguir de forma remota un restablecimiento de autoservicio de congelación de congelamiento de proceso, se requiere verificación cara a cara (esto requiere algún proceso interno y entrenamiento de conciencia si se sospecha un ataque).
Y tenga cuidado con estas Gocas:
Si recibe una llamada, puede finalizar la llamada y marcar el número en el archivo del empleado. Pero en el mundo del intercambio de SIM, esta no es la solución perfecta. Simplemente re-dializa al atacante. Si la solución es poner a los empleados en la cámara, un profundo cada vez más sofisticado puede bloquear este enfoque.
Sin embargo, los escritorios de ayuda son objetivos por razones. Son esencialmente «útiles». Esto generalmente se refleja en cómo se comportan y miden el rendimiento. Los retrasos no te ayudan a golpear esos SLA. En última instancia, el proceso solo funciona si el empleado está dispuesto a adherirse a él, y no puede ser diseñado socialmente para romperlo. Los escritorios de ayuda eliminados del trabajo diario (especialmente la subcontratación o la costa) también son susceptibles a los ataques donde los empleados se hacen pasar por
Sin embargo, los ataques que estamos experimentando en este momento deberían dar a las partes interesadas de seguridad muchas municiones sobre por qué la reforma de la mesa de ayuda es esencial para asegurar negocios (y qué sucede si no realiza ningún cambio).
Compare las estafas de la mesa de ayuda con otros enfoques
Un paso atrás, vale la pena considerar cómo las estafas de servicio de ayuda encajan en el kit de herramientas más amplio de tácticas, técnicas y procedimientos (TTP) utilizados por actores de amenaza, como las arañas dispersas.
Las arañas dispersas aparecieron por primera vez en 2022, confiando en gran medida en el TTP basado en la identidad, siguiendo una ruta reproducible de omitir MFA, lograr adquisiciones de cuentas con cuentas privilegiadas, robar datos de los servicios en la nube y el despliegue de implementación de ransomware (principalmente en entornos de VMware).
Use el correo electrónico y el phishing de certificación (amortiguación) a través de SMS (smishing) para cosechar contraseñas (haga que sus números de transferencia de operadores a una tarjeta SIM controlada por el atacante), use la fatiga de MFA (también conocido como bombardeo push) para evitar el MFA basado en SMS y use la autenticación Push basada en MFA para seducir a los ingenieros de MFA. Silibrar los DNS, los registros MX y el correo electrónico entrante de la organización objetivo, y use esto para hacerse cargo del entorno de aplicaciones comerciales de la compañía, luego use el kit de phishing MFA-ByPass AITM para robar sesiones de usuario en vivo y evitar todas las formas comunes de MFA (excepto WebAuthn/FIDO2)
Una página de phishing de araña dispersa que ejecuta Evilginx. Fuente: Investigador de SilentPush
Por lo tanto, las estafas de servicio de ayuda son una parte importante del kit de herramientas, pero no el panorama general. Métodos como AITM, en particular, se han vuelto cada vez más populares este año como una forma confiable y escalable de evitar el MFA y lograr adquisiciones de cuentas, con atacantes que usan estos kits de herramientas como estándares de facto, se vuelven creativos con los métodos de detección y, a veces, evitan explícitamente vectores de entrega estándar como correos electrónicos, asegurando el éxito de las campañas de los vasos.
En este seminario web a pedido de Push Security, explique en detalle cómo los kits de phishing modernos evitan los controles de detección.
Las arañas dispersas eluden conscientemente controles de seguridad establecidos
Por lo tanto, hay más en el kit de herramientas de araña dispersa que la estafa de la mesa de ayuda. De hecho, su enfoque puede clasificarse ampliamente como evitando conscientemente el control establecido en el punto final y la capa de red al dirigir la identidad.
De la adquisición de la cuenta, también seguimos patrones repetibles.
Los datos de cosecha y eliminación de los servicios de nubes y SaaS, donde el monitoreo suele ser menos consistente que los entornos locales tradicionales, a menudo se combinan con la actividad normal. De todos modos, muchas organizaciones simplemente no tienen los registros o la visibilidad para detectar actividades maliciosas en la nube, y las arañas dispersas también se ha visto manipulando los registros de la nube (por ejemplo, filtrar el filtrado de registro de remolque de la nube AWS de alto riesgo, pero no deshabilitarlas por completo para evitar una mayor sospecha). Se dirige a los entornos VMware para la implementación de ransomware. Haga esto agregando cuentas de usuario comprometidas al grupo VMware Administrins de VCentre (por defecto, si es necesario): desde aquí, puede acceder a su entorno VMware a través de la capa ESXI Hypervisor donde el software de seguridad no está presente.
¿Es un tema importante? Evite los controles de seguridad establecidos.
Conclusión
Las arañas dispersas pueden considerarse como una especie de actor de amenaza de «Post» de MFA que hace todo lo posible para evitar los controles de seguridad establecidos. Pasando por alto los puntos finales y las superficies de la red tanto como sea posible al dirigir la identidad y las adquisiciones de cuentas, y pasándolos al final de la cadena de ataque. En ese momento es casi demasiado tarde para confiar en esos controles.
Por lo tanto, no exagere el índice de estafa de la mesa de ayuda. Debe considerar una superficie de ataque de identidad más amplia y una variedad de métodos de intrusión que proporcionan puertas traseras a aplicaciones y cuentas con brechas MFA, así como cuentas a las que SSO accede a los atacantes.
Proteja a su organización de TTPS de araña dispersa (no solo estafas de la mesa de ayuda)
Para obtener más información sobre el kit de herramientas de identidad de araña dispersa, que se adopta como un estándar para cada grupo de amenazas, consulte el último seminario web de Push Security.
Aprenda cómo la seguridad de empuje detiene los ataques de identidad
Push Security proporciona capacidades integrales de detección y respuesta de ataque de identidad para técnicas como el phishing de AITM utilizando tokens de sesión robados, empaque de derechos, pulverización de contraseñas y secuestro de sesión. También puede usar Push para encontrar y arreglar vulnerabilidades de identidad en todas las aplicaciones utilizadas por los empleados. Brecha de cobertura de SSO. Brecha MFA; Las contraseñas son débiles, comprometidas y reutilizadas. Integración peligrosa de OAuth; Más.
Si desea obtener más información sobre cómo Cush puede ayudarlo a detectar y vencer a las técnicas de ataque de identidad comunes, reservar uno de sus equipos y tiempo para una demostración en vivo.
Source link
