¿Cómo detectar y mitigar un ataque de cuenta de email corporativo secuestrada en Microsoft 365? (Account Takeover)

mayo 13, 2022
Posted in Blog

¿Cómo detectar y mitigar un ataque de cuenta de email corporativo secuestrada en Microsoft 365? (Account Takeover)

¿QUÉ ES “ACCOUNT TAKEOVER” (SECUESTRO DE CUENTA CORPORATIVA)?

Este término es utilizado cuando un atacante obtiene acceso y controla las credenciales de la cuenta de un usuario y después utiliza esta cuenta comprometida para ejecutar una amplia variedad de ataques. Por lo general, comienzan haciendo cambios en la cuenta para que al propietario real le resulte más difícil recuperar el control. Una vez que se que la cuenta de correo electrónico esta totalmente comprometida pueden acceder a administradores de contraseñas con credenciales de inicio de sesión legítimas en cuentas bancarias de la empresa, recursos que incluyen datos personales de otros empleados o clientes y moverse lateralmente dentro de la red de la organización para establecer puntos de apoyo adicionales para lanzar otros tipos de ataques.

Una de las primeras cosas que los cibercriminales suelen hacer con las credenciales robadas es enviar correos electrónicos de phishing a otros empleados para ampliar su capacidad de control dentro de la organización; este tipo de actividad puede ser difícil de detectar ya que el atacante parece un empleado real para la mayoría de las herramientas de seguridad.

DETECCIÓN

Detectar el secuestro de una cuenta o una dirección de correo electrónico comprometida no es tan fácil como buscar cambios de contraseña desde una nueva dirección IP o dispositivo. Ese tipo de cosas suceden todo el tiempo, como cuando un empleado recibe un nuevo teléfono inteligente. La detección precisa requiere un análisis avanzado de múltiples puntos donde encontraremos datos relevantes:

  • Datos de eventos de administración de acceso e identidad (IAM), como eventos de Microsoft Active Directory.
  • Datos de eventos a nivel de cuenta de correo electrónico, como reglas de manejo de correo electrónico nuevas e inusuales.
  • Comportamiento y patrones de usuarios, como mensajes de correo electrónico enviados a múltiples destinatarios internos que nunca antes se habían contactado.

La cantidad de combinaciones de eventos en estas fuentes de datos es enorme y encontrar indicadores válidos de apropiación de cuentas es extremadamente desafiante. Para evitar alertas de falsos positivos, nuestra solución de detección de amenazas en correo electrónico a través de inteligencia artificial (IRONSCALES) analiza en tiempo real múltiples tipos de datos, no solo eventos de Active Directory,  esto para identificar actividades sospechosas de usuarios y patrones de comportamiento. Por ejemplo, varios intentos fallidos de inicio de sesión en una aplicación podrían significar que el usuario olvidó su contraseña. Pero al combinar los intentos fallidos de inicio de sesión + nuevas reglas de reenvío y eliminación de correo electrónico + actividad de viajes imposible (donde la distancia entre su última ubicación de inicio de sesión y la nueva no podría ser recorrida por un avión) se obtienen todos los signos de que estamos ante un incidente de secuestro de cuenta.

REMEDIACIÓN

Los ataques de “account takeover” (ATO), como Business Email Compromise (BEC), tienen el potencial de propagarse a través de una organización como reguero de pólvora. Un ataque exitoso puede provocar brechas de datos y el compromiso de otras cuentas muy rápidamente.

Como tal, IRONSCALES no clasifica automáticamente dichos incidentes, sino que proporciona de inmediato a los analistas de SOC toda la información necesaria para remediar con precisión y evitar una mayor propagación, lo que se realiza con dos simples clics.

IRONSCALES es una solución integral que se implementa sencilla y rápidamente en Microsoft 365 y Google Workspace, cuenta con características de protección y detección de alto valor:

  • Análisis en tiempo real de datos de eventos a través de inteligencia artificial donde otras soluciones buscan amenazas solo por reputación, adjuntos maliciosos o listas negras sin tener éxito.
  • Correlación y análisis de múltiples fuentes de datos en lugar de solo eventos de Active Directory
  • Remediación simple e intuitiva con 2 clics

En NEKT podemos ayudarte con un diagnóstico integral sin costo sobre las amenazas que ha permitido tu actual solución de protección de correo así como la capacidad de entregar una “fotografía” 90 días previos a la activación de la prueba (Microsoft 365) así como 60 días posteriores incluyendo protección con inteligencia artificial y simulación de ataques de phishing

¡Contáctanos! (miguel@nektgroup.com)

IronScales Blog -Marzo 2022

Open chat
¿Necesitas ayuda?