A raíz de los ataques de alto perfil en los minoristas del Reino Unido, Marks & Spencer y Co-op, Sptered Spider ha estado en todos los medios, con una cobertura que se extiende en las principales noticias debido a la gravedad de la interrupción causada, que actualmente se parece a cientos de millones en ganancias perdidas para M&S solo.
Esta cobertura es extremadamente valiosa para la comunidad de seguridad cibernética, ya que crea conciencia de las batallas que los equipos de seguridad están luchando todos los días. Pero también ha creado mucho ruido que puede hacer que sea difícil comprender el panorama general.
La historia principal de la reciente campaña contra los minoristas del Reino Unido es el uso de estafas de la mesa de ayuda. Esto generalmente implica que el atacante llame a la mesa de ayuda de una empresa con cierto nivel de información, como mínimo, PII que les permite hacerse pasar por su víctima, y a veces una contraseña, que se inclina fuertemente en sus habilidades nativas de habla inglesa para engañar al operador de la mesa de ayuda para darles acceso a una cuenta de usuario.
Estafas de la mesa de ayuda 101
El objetivo de una estafa de la mesa de ayuda es obtener el operador de la mesa de ayuda para restablecer las credenciales y/o MFA utilizadas para acceder a una cuenta para que el atacante pueda tomar el control. Usarán una variedad de historias de fondo y tácticas para hacerlo, pero la mayoría de las veces es tan simple como decir «Tengo un teléfono nuevo, ¿puedes eliminar mi MFA existente y permitirme inscribir uno nuevo?»
A partir de ahí, el atacante recibe un enlace de reinicio de MFA por correo electrónico o SMS. Por lo general, esto se enviaría a, por ejemplo, a un número en el archivo, pero en este punto, el atacante ya ha establecido confianza y evitó el proceso de la mesa de ayuda hasta cierto punto. Entonces, preguntar «¿Puedes enviarlo a esta dirección de correo electrónico?» O «También tengo un nuevo número, ¿puedes enviarlo a …» Se envía esto directamente al atacante?
En este punto, es simplemente un caso de utilizar la funcionalidad de restablecimiento de contraseña de autoservicio para OKTA o ENTRA (que puede evitar porque ahora tiene el factor MFA para verificarlo), y Voilael atacante ha tomado el control de la cuenta.
¿Y la mejor parte? La mayoría de los escritorios de ayuda tienen el mismo proceso para cada cuenta: no importa a quién esté suplantando o qué cuenta está tratando de restablecer. Por lo tanto, los atacantes están dirigidos específicamente a las cuentas que probablemente tengan privilegios de administración de primer nivel, lo que significa que una vez que entran, progresar el ataque es trivial, y gran parte de la escalada de privilegios típica y el movimiento lateral se eliminan del camino de ataque.
Por lo tanto, las estafas de la mesa de ayuda han demostrado ser una forma confiable de evitar MFA y lograr la adquisición de la cuenta, el punto de apoyo para lanzar el resto de un ataque, como robar datos, implementar ransomware, etc.
No se deje engañar, este no es un desarrollo nuevo
Pero algo que no se encuentra en el informe es que la araña dispersa ha estado haciendo esto con éxito desde 2022, con los ataques de M&S y cooperativa simplemente la punta del iceberg. Vishing (llamando a un usuario para que renuncie a su código MFA) ha sido parte de su kit de herramientas desde el principio, con los primeros ataques contra Twilio, LastPass, Riot Games y Coinbase que involucran alguna forma de ingeniería social basada en la voz.
En particular, los ataques de alto perfil contra Caesars, MGM Resorts y Transport for London, todos involucrados, llamando a una mesa de ayuda para restablecer las credenciales como el vector de acceso inicial.
- Césares En agosto de 2023, donde los piratas informáticos se hicieron pasar por un usuario de TI y convencieron a una mesa de ayuda subcontratada para restablecer las credenciales, después de lo cual el atacante robó la base de datos del programa de lealtad del cliente y obtuvo un pago de rescate de $ 15 millones.
- Resorts MGM En septiembre de 2023, donde el hacker utilizó información de LinkedIn para hacerse pasar por un empleado y restablecer las credenciales del empleado, lo que resultó en un robo de datos de 6TB. Después de que MGM se negó a pagar, el ataque finalmente resultó en una interrupción de 36 horas, un golpe de $ 100 millones y una demanda de acción clase se resolvió por $ 45 millones.
- Transporte para Londres En septiembre de 2024 dio como resultado que se expusieran 5,000 datos bancarios de los usuarios, 30,000 empleados necesarios para asistir a citas en persona para verificar sus identidades y restablecer contraseñas, y una interrupción significativa a los servicios en línea que duran meses.
Por lo tanto, no solo la araña dispersa (y otros grupos de amenazas) han estado utilizando estas técnicas durante algún tiempo, sino que la gravedad y el impacto de estos ataques han aumentado.
Evitar la mesa de ayuda gotchas
Hay muchos consejos para asegurar que se distribuyen los escritorios, pero gran parte del consejo aún resulta en un proceso que es fallable o difícil de implementar.
En última instancia, las organizaciones deben estar preparadas para introducir la fricción en el proceso de su mesa de ayuda y retrasar o negar las solicitudes en situaciones en las que existe un riesgo significativo. Entonces, por ejemplo, tener un proceso para el reinicio de MFA que reconoce el riesgo asociado con restablecer una cuenta de alto privilegio:
- Requerir aprobación/escalada multipartidista para restablecer la cuenta de nivel de administración
- Requiere una verificación en persona si el proceso no se puede seguir de forma remota
- Freeze autoservicio se reinicia cuando se encuentra un comportamiento sospechoso (esto requeriría algún tipo de proceso interno y entrenamiento de conciencia para aumentar la alarma si se sospecha un ataque)
Y ten cuidado con estos gotchas:
- Si recibe una llamada, la buena práctica es terminar la llamada y marcar el número en el archivo del empleado. Pero, en un mundo de intercambio de SIM, esta no es una solución infalible, solo podrías volver a calificar al atacante.
- Si su solución es poner al empleado en la cámara, los defensores cada vez más sofisticados pueden frustrar este enfoque.
Pero, los escritorios de ayuda son un objetivo por una razón. Son «útiles» por naturaleza. Esto generalmente se refleja en cómo se operan y se miden el rendimiento: ¡los retrasos no lo ayudarán a alcanzar esos SLA! En última instancia, un proceso solo funciona si los empleados están dispuestos a adherirse a él, y no se pueden diseñar socialmente para romperlo. Los escritorios de ayuda que se eliminan de las operaciones cotidianas (especialmente cuando se subcontratan o se deslizan) también son inherentemente susceptibles a los ataques donde los empleados se hacen pasar por
Pero, los ataques que estamos experimentando en este momento deberían dar a los interesados de seguridad muchas municiones sobre por qué las reformas de la mesa de ayuda son vitales para asegurar el negocio (y qué puede suceder si no realiza cambios).
Comparación de estafas de la mesa de ayuda con otros enfoques
Dando un paso atrás, vale la pena pensar en cómo las estafas de la mesa de ayuda encajan en el conjunto de herramientas más amplio de tácticas, técnicas y procedimientos (TTP) utilizados por actores de amenaza como la araña dispersa.
La araña dispersa se ha basado en gran medida en los TTP basados en la identidad, ya que surgieron por primera vez en 2022, siguiendo una ruta repetible para evitar MFA, lograr la adquisición de cuentas en cuentas privilegiadas, robar datos de los servicios en la nube e implementar el ransomware (principalmente a los entornos VMware).
- Phishing de credenciales por correo electrónico y SMS (Smishing) para cosechar contraseñas en masa
- Usar el intercambio de SIM (donde hace que el operador transfiera un número a su tarjeta SIM controlada por el atacante) para evitar MFA basado en SMS
- Uso de la fatiga de MFA (también conocido como bombardeo de empuje) para evitar la autenticación de empuje basada en aplicaciones
- Usar a Vishing (es decir, llamar directamente a una víctima para ingeniero social su código MFA, en lugar de un ataque de la mesa de ayuda)
- Los registradores de dominio de la ingeniería social tomar el control del DNS de la organización objetivo, secuestrando sus registros de MX y el correo entrante, y el uso de esto para hacerse cargo de los entornos de aplicaciones comerciales de la compañía
- Y luego, utilizando kits de phishing Aitm MFA-ByPass como Evilginx para robar sesiones de usuarios en vivo, evitando todas las formas comunes de MFA (con la excepción de WebAuthn/Fido2)
 |
| Páginas de phishing de araña dispersas que ejecutan Evilginx. Fuente: Investigadores de SilentPush |
Por lo tanto, las estafas de la mesa de ayuda son una parte importante de su kit de herramientas, pero no es la imagen completa. Métodos como AITM en particular se han disparado en popularidad este año como una forma confiable y escalable de pasar por alto el MFA y lograr la adquisición de la cuenta, con atacantes que usan estos kits de herramientas como el estándar de facto, lo que es creativo en sus métodos de evasión de detección y, en algunos casos, evade vectores de entrega de entrega estándar como el correo electrónico para garantizar el éxito de sus campañas de phishing.
Obtenga más información sobre cómo los kits de phishing modernos están evadiendo los controles de detección en este seminario web a pedido de Push Security.
La araña dispersa está evadiendo conscientemente controles de seguridad establecidos
Por lo tanto, hay más para el conjunto de herramientas de Spider disperso que solo las estafas de la mesa de ayuda. De hecho, su enfoque puede clasificarse ampliamente como evadiendo conscientemente controles establecidos en el punto final y la capa de red atacando identidades.
Desde el punto de adquisición de la cuenta, también siguen patrones repetibles:
- La cosecha y la exfiltración de datos de los servicios en la nube y SaaS, donde el monitoreo es típicamente menos consistente que los entornos locales tradicionales, y la exfiltración a menudo se combina con la actividad normal. Muchas organizaciones simplemente no tienen los registros o la visibilidad para detectar actividades maliciosas en la nube de todos modos, y también se ha visto a una araña dispersa manipulando los registros de la nube (por ejemplo, filtrando los registros de AWS CloudTrail de riesgo, pero no la deshabilitó por completo para no levantar la sospecha).
- Dirigir entornos VMware para la implementación de ransomware. Lo hacen agregando su cuenta de usuario comprometida al Grupo VMware Administradores en vCentre (si es necesario, van tras cuentas con privilegios de nivel superior de forma predeterminada). A partir de aquí, pueden acceder al entorno VMware a través de la capa ESXI Hypervisor, donde el software de seguridad es inexistente, sin pasar por alto EDR y otros controles típicos basados en el punto final y host en los que confía para evitar la ejecución de ransomware.
El tema clave? Sudando sus controles de seguridad establecidos.
Conclusión
Puede pensar en la araña dispersa como una especie de actor de amenaza de «post-MFA» que hace todo lo posible para evadir los controles de seguridad establecidos. Al apuntar a identidades y adquisiciones de cuentas, pasan por alto el punto final y las superficies de red tanto como sea posible, hasta el final de la cadena de ataque, momento en el cual es casi demasiado tarde para confiar en esos controles.
Por lo tanto, no se supervise sobre las estafas de la mesa de ayuda: debe considerar su superficie de ataque de identidad más amplia y varios métodos de intrusión, desde aplicaciones y cuentas con brechas de MFA, cuentas locales que dan a los atacantes una puerta trasera en cuentas de otro modo se acceden con SSO y Kits de phishing AITM de Byming MFA que son los nuevos ataques normales para los ataques de peces.
Defiende a su organización de TTPS de araña dispersa (no solo estafas de la mesa de ayuda)
Para obtener más información sobre el kit de herramientas de identidad de Spider disperso, que cada vez se adopta cada vez más como estándar por grupos de amenazas, consulte el último seminario web de Push Security, ¡ahora disponible a pedido!
Aprenda cómo la seguridad de empuje detiene los ataques de identidad
Push Security proporciona capacidades integrales de detección y respuesta de ataque de identidad contra técnicas como phishing de AITM, relleno de credenciales, pulverización de contraseñas y secuestro de sesión utilizando tokens de sesión robados. También puede usar Push para encontrar y solucionar vulnerabilidades de identidad en cada aplicación que usen sus empleados, como: inicios de sesión fantasma; Brechas de cobertura de SSO; Brechas de MFA; contraseñas débiles, violadas y reutilizadas; Integraciones arriesgadas de OAuth; y más.
Si desea obtener más información sobre cómo Push lo ayuda a detectar y derrotar técnicas de ataque de identidad comunes, reserve algo de tiempo con uno de nuestro equipo para una demostración en vivo.