A raíz de los ataques de parada perfil en los minoristas del Reino Unido, Marks & Spencer y Co-op, Sptered Spider ha estado en todos los medios, con una cobertura que se extiende en las principales noticiario conveniente a la pesadez de la interrupción causada, que actualmente se parece a cientos de millones en ganancias perdidas para M&S solo.
Esta cobertura es extremadamente valiosa para la comunidad de seguridad cibernética, ya que crea conciencia de las batallas que los equipos de seguridad están luchando todos los días. Pero además ha creado mucho ruido que puede hacer que sea difícil comprender el panorama normal.
La historia principal de la nuevo campaña contra los minoristas del Reino Unido es el uso de estafas de la mesa de ayuda. Esto generalmente implica que el atacante llame a la mesa de ayuda de una empresa con cierto nivel de información, como minúsculo, PII que les permite hacerse ocurrir por su víctima, y a veces una contraseña, que se inclina fuertemente en sus habilidades nativas de palabra inglesa para engañar al cirujano de la mesa de ayuda para darles paso a una cuenta de agraciado.
Estafas de la mesa de ayuda 101
El objetivo de una estafa de la mesa de ayuda es obtener el cirujano de la mesa de ayuda para restablecer las credenciales y/o MFA utilizadas para entrar a una cuenta para que el atacante pueda tomar el control. Usarán una variedad de historias de fondo y tácticas para hacerlo, pero la mayoría de las veces es tan simple como asegurar «Tengo un teléfono nuevo, ¿puedes eliminar mi MFA existente y permitirme inscribir uno nuevo?»
A partir de ahí, el atacante recibe un enlace de reinicio de MFA por correo electrónico o SMS. Por lo normal, esto se enviaría a, por ejemplo, a un número en el archivo, pero en este punto, el atacante ya ha establecido confianza y evitó el proceso de la mesa de ayuda hasta cierto punto. Entonces, preguntar «¿Puedes enviarlo a esta dirección de correo electrónico?» O «Incluso tengo un nuevo número, ¿puedes enviarlo a …» Se envía esto directamente al atacante?
En este punto, es simplemente un caso de utilizar la funcionalidad de restablecimiento de contraseña de hipermercado para OKTA o ENTRA (que puede evitar porque ahora tiene el creador MFA para verificarlo), y Voilael atacante ha tomado el control de la cuenta.
¿Y la mejor parte? La mayoría de los escritorios de ayuda tienen el mismo proceso para cada cuenta: no importa a quién esté suplantando o qué cuenta está tratando de restablecer. Por lo tanto, los atacantes están dirigidos específicamente a las cuentas que probablemente tengan privilegios de compañía de primer nivel, lo que significa que una vez que entran, progresar el ataque es trivial, y gran parte de la ascensión de privilegios típica y el movimiento adyacente se eliminan del camino de ataque.
Por lo tanto, las estafas de la mesa de ayuda han demostrado ser una forma confiable de evitar MFA y conseguir la adquisición de la cuenta, el punto de apoyo para divulgar el resto de un ataque, como robar datos, implementar ransomware, etc.
No se deje engañar, este no es un progreso nuevo
Pero poco que no se encuentra en el referencia es que la araña dispersa ha estado haciendo esto con éxito desde 2022, con los ataques de M&S y cooperativa simplemente la punta del iceberg. Vishing (llamando a un agraciado para que renuncie a su código MFA) ha sido parte de su kit de herramientas desde el principio, con los primeros ataques contra Twilio, LastPass, Riot Games y Coinbase que involucran alguna forma de ingeniería social basada en la voz.
En particular, los ataques de parada perfil contra Caesars, MGM Resorts y Transport for London, todos involucrados, llamando a una mesa de ayuda para restablecer las credenciales como el vector de paso auténtico.
- Césares En agosto de 2023, donde los piratas informáticos se hicieron ocurrir por un agraciado de TI y convencieron a una mesa de ayuda subcontratada para restablecer las credenciales, posteriormente de lo cual el atacante robó la colchoneta de datos del software de honradez del cliente y obtuvo un cuota de rescate de $ 15 millones.
- Resorts MGM En septiembre de 2023, donde el hacker utilizó información de LinkedIn para hacerse ocurrir por un empleado y restablecer las credenciales del empleado, lo que resultó en un robo de datos de 6TB. Luego de que MGM se negó a avalar, el ataque finalmente resultó en una interrupción de 36 horas, un ocurrencia de $ 100 millones y una demanda de actividad clase se resolvió por $ 45 millones.
- Transporte para Londres En septiembre de 2024 dio como resultado que se expusieran 5,000 datos bancarios de los usuarios, 30,000 empleados necesarios para asistir a citas en persona para probar sus identidades y restablecer contraseñas, y una interrupción significativa a los servicios en carrera que duran meses.
Por lo tanto, no solo la araña dispersa (y otros grupos de amenazas) han estado utilizando estas técnicas durante algún tiempo, sino que la pesadez y el impacto de estos ataques han aumentado.
Evitar la mesa de ayuda gotchas
Hay muchos consejos para afianzar que se distribuyen los escritorios, pero gran parte del consejo aún resulta en un proceso que es fallable o difícil de implementar.
En última instancia, las organizaciones deben estar preparadas para introducir la fricción en el proceso de su mesa de ayuda y retrasar o desmentir las solicitudes en situaciones en las que existe un peligro significativo. Entonces, por ejemplo, tener un proceso para el reinicio de MFA que reconoce el peligro asociado con restablecer una cuenta de parada privilegio:
- Requerir aprobación/ascensión multipartidista para restablecer la cuenta de nivel de compañía
- Requiere una demostración en persona si el proceso no se puede seguir de forma remota
- Freeze hipermercado se reinicia cuando se encuentra un comportamiento sospechoso (esto requeriría algún tipo de proceso interno y entrenamiento de conciencia para aumentar la rebato si se sospecha un ataque)
Y ten cuidado con estos gotchas:
- Si recibe una llamamiento, la buena actos es terminar la llamamiento y marcar el número en el archivo del empleado. Pero, en un mundo de intercambio de SIM, esta no es una opción infalible, solo podrías retornar a etiquetar al atacante.
- Si su opción es poner al empleado en la cámara, los defensores cada vez más sofisticados pueden frustrar este enfoque.
Pero, los escritorios de ayuda son un objetivo por una razón. Son «aperos» por naturaleza. Esto generalmente se refleja en cómo se operan y se miden el rendimiento: ¡los retrasos no lo ayudarán a alcanzar esos SLA! En última instancia, un proceso solo funciona si los empleados están dispuestos a agregarse a él, y no se pueden diseñar socialmente para romperlo. Los escritorios de ayuda que se eliminan de las operaciones cotidianas (especialmente cuando se subcontratan o se deslizan) además son inherentemente susceptibles a los ataques donde los empleados se hacen ocurrir por
Pero, los ataques que estamos experimentando en este momento deberían dar a los interesados de seguridad muchas municiones sobre por qué las reformas de la mesa de ayuda son vitales para afianzar el negocio (y qué puede suceder si no realiza cambios).
Comparación de estafas de la mesa de ayuda con otros enfoques
Dando un paso detrás, vale la pena pensar en cómo las estafas de la mesa de ayuda encajan en el conjunto de herramientas más amplio de tácticas, técnicas y procedimientos (TTP) utilizados por actores de amenaza como la araña dispersa.
La araña dispersa se ha basado en gran medida en los TTP basados en la identidad, ya que surgieron por primera vez en 2022, siguiendo una ruta repetible para evitar MFA, conseguir la adquisición de cuentas en cuentas privilegiadas, robar datos de los servicios en la nubarrón e implementar el ransomware (principalmente a los entornos VMware).
- Phishing de credenciales por correo electrónico y SMS (Smishing) para cosechar contraseñas en masa
- Usar el intercambio de SIM (donde hace que el cirujano transfiera un número a su plástico SIM controlada por el atacante) para evitar MFA basado en SMS
- Uso de la sofocación de MFA (además conocido como hostigación de empuje) para evitar la autenticación de empuje basada en aplicaciones
- Usar a Vishing (es asegurar, designar directamente a una víctima para ingeniero social su código MFA, en puesto de un ataque de la mesa de ayuda)
- Los registradores de dominio de la ingeniería social tomar el control del DNS de la ordenamiento objetivo, secuestrando sus registros de MX y el correo entrante, y el uso de esto para hacerse cargo de los entornos de aplicaciones comerciales de la compañía
- Y luego, utilizando kits de phishing Aitm MFA-ByPass como Evilginx para robar sesiones de usuarios en vivo, evitando todas las formas comunes de MFA (con la excepción de WebAuthn/Fido2)
 |
| Páginas de phishing de araña dispersas que ejecutan Evilginx. Fuente: Investigadores de SilentPush |
Por lo tanto, las estafas de la mesa de ayuda son una parte importante de su kit de herramientas, pero no es la imagen completa. Métodos como AITM en particular se han disparado en popularidad este año como una forma confiable y escalable de ocurrir por parada el MFA y conseguir la adquisición de la cuenta, con atacantes que usan estos kits de herramientas como el habitual de facto, lo que es creativo en sus métodos de entretenimiento de detección y, en algunos casos, evade vectores de entrega de entrega habitual como el correo electrónico para certificar el éxito de sus campañas de phishing.
Obtenga más información sobre cómo los kits de phishing modernos están evadiendo los controles de detección en este seminario web a pedido de Push Security.
La araña dispersa está evadiendo conscientemente controles de seguridad establecidos
Por lo tanto, hay más para el conjunto de herramientas de Spider disperso que solo las estafas de la mesa de ayuda. De hecho, su enfoque puede clasificarse ampliamente como evadiendo conscientemente controles establecidos en el punto final y la capa de red atacando identidades.
Desde el punto de adquisición de la cuenta, además siguen patrones repetibles:
- La cosecha y la exfiltración de datos de los servicios en la nubarrón y SaaS, donde el monitoreo es típicamente menos consistente que los entornos locales tradicionales, y la exfiltración a menudo se combina con la actividad ordinario. Muchas organizaciones simplemente no tienen los registros o la visibilidad para detectar actividades maliciosas en la nubarrón de todos modos, y además se ha manido a una araña dispersa manipulando los registros de la nubarrón (por ejemplo, filtrando los registros de AWS CloudTrail de peligro, pero no la deshabilitó por completo para no enarbolar la sospecha).
- Dirigir entornos VMware para la implementación de ransomware. Lo hacen agregando su cuenta de agraciado comprometida al Conjunto VMware Administradores en vCentre (si es necesario, van tras cuentas con privilegios de nivel superior de forma predeterminada). A partir de aquí, pueden entrar al entorno VMware a través de la capa ESXI Hypervisor, donde el software de seguridad es inexistente, sin ocurrir por parada EDR y otros controles típicos basados en el punto final y host en los que confía para evitar la ejecución de ransomware.
El tema esencia? Sudando sus controles de seguridad establecidos.
Conclusión
Puede pensar en la araña dispersa como una especie de actor de amenaza de «post-MFA» que hace todo lo posible para evitar los controles de seguridad establecidos. Al apuntar a identidades y adquisiciones de cuentas, pasan por parada el punto final y las superficies de red tanto como sea posible, hasta el final de la cautiverio de ataque, momento en el cual es casi demasiado tarde para aguardar en esos controles.
Por lo tanto, no se supervise sobre las estafas de la mesa de ayuda: debe considerar su superficie de ataque de identidad más amplia y varios métodos de intrusión, desde aplicaciones y cuentas con brechas de MFA, cuentas locales que dan a los atacantes una puerta trasera en cuentas de otro modo se acceden con SSO y Kits de phishing AITM de Byming MFA que son los nuevos ataques normales para los ataques de peces.
Defiende a su ordenamiento de TTPS de araña dispersa (no solo estafas de la mesa de ayuda)
Para obtener más información sobre el kit de herramientas de identidad de Spider disperso, que cada vez se adopta cada vez más como habitual por grupos de amenazas, consulte el posterior seminario web de Push Security, ¡ahora adecuado a pedido!
Aprenda cómo la seguridad de empuje detiene los ataques de identidad
Push Security proporciona capacidades integrales de detección y respuesta de ataque de identidad contra técnicas como phishing de AITM, relleno de credenciales, pulverización de contraseñas y secuestro de sesión utilizando tokens de sesión robados. Incluso puede usar Push para encontrar y solucionar vulnerabilidades de identidad en cada aplicación que usen sus empleados, como: inicios de sesión sombra; Brechas de cobertura de SSO; Brechas de MFA; contraseñas débiles, violadas y reutilizadas; Integraciones arriesgadas de OAuth; y más.
Si desea obtener más información sobre cómo Push lo ayuda a detectar y derrotar técnicas de ataque de identidad comunes, reserve poco de tiempo con uno de nuestro equipo para una demostración en vivo.
