A raíz de los ataques de suspensión perfil en los minoristas del Reino Unido, Marks & Spencer y Co-op, Sptered Spider ha estado en todos los medios, con una cobertura que se extiende en las principales parte adecuado a la recaída de la interrupción causada, que actualmente se parece a cientos de millones en ganancias perdidas para M&S solo.
Esta cobertura es extremadamente valiosa para la comunidad de seguridad cibernética, ya que crea conciencia de las batallas que los equipos de seguridad están luchando todos los días. Pero todavía ha creado mucho ruido que puede hacer que sea difícil comprender el panorama universal.
La historia principal de la flamante campaña contra los minoristas del Reino Unido es el uso de estafas de la mesa de ayuda. Esto generalmente implica que el atacante llame a la mesa de ayuda de una empresa con cierto nivel de información, como pequeño, PII que les permite hacerse ocurrir por su víctima, y a veces una contraseña, que se inclina fuertemente en sus habilidades nativas de deje inglesa para engañar al cirujano de la mesa de ayuda para darles comunicación a una cuenta de beneficiario.
Estafas de la mesa de ayuda 101
El objetivo de una estafa de la mesa de ayuda es obtener el cirujano de la mesa de ayuda para restablecer las credenciales y/o MFA utilizadas para alcanzar a una cuenta para que el atacante pueda tomar el control. Usarán una variedad de historias de fondo y tácticas para hacerlo, pero la mayoría de las veces es tan simple como afirmar “Tengo un teléfono nuevo, ¿puedes eliminar mi MFA existente y permitirme inscribir uno nuevo?”
A partir de ahí, el atacante recibe un enlace de reinicio de MFA por correo electrónico o SMS. Por lo universal, esto se enviaría a, por ejemplo, a un número en el archivo, pero en este punto, el atacante ya ha establecido confianza y evitó el proceso de la mesa de ayuda hasta cierto punto. Entonces, preguntar “¿Puedes enviarlo a esta dirección de correo electrónico?” O “Igualmente tengo un nuevo número, ¿puedes enviarlo a …” Se envía esto directamente al atacante?
En este punto, es simplemente un caso de utilizar la funcionalidad de restablecimiento de contraseña de hipermercado para OKTA o ENTRA (que puede evitar porque ahora tiene el autor MFA para verificarlo), y Voilael atacante ha tomado el control de la cuenta.
¿Y la mejor parte? La mayoría de los escritorios de ayuda tienen el mismo proceso para cada cuenta: no importa a quién esté suplantando o qué cuenta está tratando de restablecer. Por lo tanto, los atacantes están dirigidos específicamente a las cuentas que probablemente tengan privilegios de compañía de primer nivel, lo que significa que una vez que entran, progresar el ataque es trivial, y gran parte de la ascenso de privilegios típica y el movimiento adjunto se eliminan del camino de ataque.
Por lo tanto, las estafas de la mesa de ayuda han demostrado ser una forma confiable de evitar MFA y alcanzar la adquisición de la cuenta, el punto de apoyo para propalar el resto de un ataque, como robar datos, implementar ransomware, etc.
No se deje engañar, este no es un exposición nuevo
Pero poco que no se encuentra en el noticia es que la araña dispersa ha estado haciendo esto con éxito desde 2022, con los ataques de M&S y cooperativa simplemente la punta del iceberg. Vishing (llamando a un beneficiario para que renuncie a su código MFA) ha sido parte de su kit de herramientas desde el principio, con los primeros ataques contra Twilio, LastPass, Riot Games y Coinbase que involucran alguna forma de ingeniería social basada en la voz.
En particular, los ataques de suspensión perfil contra Caesars, MGM Resorts y Transport for London, todos involucrados, llamando a una mesa de ayuda para restablecer las credenciales como el vector de comunicación auténtico.
- Césares En agosto de 2023, donde los piratas informáticos se hicieron ocurrir por un beneficiario de TI y convencieron a una mesa de ayuda subcontratada para restablecer las credenciales, posteriormente de lo cual el atacante robó la cojín de datos del software de observancia del cliente y obtuvo un cuota de rescate de $ 15 millones.
- Resorts MGM En septiembre de 2023, donde el hacker utilizó información de LinkedIn para hacerse ocurrir por un empleado y restablecer las credenciales del empleado, lo que resultó en un robo de datos de 6TB. Posteriormente de que MGM se negó a enriquecer, el ataque finalmente resultó en una interrupción de 36 horas, un trastazo de $ 100 millones y una demanda de actividad clase se resolvió por $ 45 millones.
- Transporte para Londres En septiembre de 2024 dio como resultado que se expusieran 5,000 datos bancarios de los usuarios, 30,000 empleados necesarios para asistir a citas en persona para compulsar sus identidades y restablecer contraseñas, y una interrupción significativa a los servicios en tendencia que duran meses.
Por lo tanto, no solo la araña dispersa (y otros grupos de amenazas) han estado utilizando estas técnicas durante algún tiempo, sino que la recaída y el impacto de estos ataques han aumentado.
Evitar la mesa de ayuda gotchas
Hay muchos consejos para apuntalar que se distribuyen los escritorios, pero gran parte del consejo aún resulta en un proceso que es fallable o difícil de implementar.
En última instancia, las organizaciones deben estar preparadas para introducir la fricción en el proceso de su mesa de ayuda y retrasar o desmentir las solicitudes en situaciones en las que existe un aventura significativo. Entonces, por ejemplo, tener un proceso para el reinicio de MFA que reconoce el aventura asociado con restablecer una cuenta de suspensión privilegio:
- Requerir aprobación/ascenso multipartidista para restablecer la cuenta de nivel de compañía
- Requiere una demostración en persona si el proceso no se puede seguir de forma remota
- Freeze hipermercado se reinicia cuando se encuentra un comportamiento sospechoso (esto requeriría algún tipo de proceso interno y entrenamiento de conciencia para aumentar la miedo si se sospecha un ataque)
Y ten cuidado con estos gotchas:
- Si recibe una emplazamiento, la buena praxis es terminar la emplazamiento y marcar el número en el archivo del empleado. Pero, en un mundo de intercambio de SIM, esta no es una posibilidad infalible, solo podrías retornar a etiquetar al atacante.
- Si su posibilidad es poner al empleado en la cámara, los defensores cada vez más sofisticados pueden frustrar este enfoque.
Pero, los escritorios de ayuda son un objetivo por una razón. Son “efectos” por naturaleza. Esto generalmente se refleja en cómo se operan y se miden el rendimiento: ¡los retrasos no lo ayudarán a alcanzar esos SLA! En última instancia, un proceso solo funciona si los empleados están dispuestos a sumarse a él, y no se pueden diseñar socialmente para romperlo. Los escritorios de ayuda que se eliminan de las operaciones cotidianas (especialmente cuando se subcontratan o se deslizan) todavía son inherentemente susceptibles a los ataques donde los empleados se hacen ocurrir por
Pero, los ataques que estamos experimentando en este momento deberían dar a los interesados de seguridad muchas municiones sobre por qué las reformas de la mesa de ayuda son vitales para apuntalar el negocio (y qué puede suceder si no realiza cambios).
Comparación de estafas de la mesa de ayuda con otros enfoques
Dando un paso a espaldas, vale la pena pensar en cómo las estafas de la mesa de ayuda encajan en el conjunto de herramientas más amplio de tácticas, técnicas y procedimientos (TTP) utilizados por actores de amenaza como la araña dispersa.
La araña dispersa se ha basado en gran medida en los TTP basados en la identidad, ya que surgieron por primera vez en 2022, siguiendo una ruta repetible para evitar MFA, alcanzar la adquisición de cuentas en cuentas privilegiadas, robar datos de los servicios en la cirro e implementar el ransomware (principalmente a los entornos VMware).
- Phishing de credenciales por correo electrónico y SMS (Smishing) para cosechar contraseñas en masa
- Usar el intercambio de SIM (donde hace que el cirujano transfiera un número a su plástico SIM controlada por el atacante) para evitar MFA basado en SMS
- Uso de la pena de MFA (todavía conocido como cañoneo de empuje) para evitar la autenticación de empuje basada en aplicaciones
- Usar a Vishing (es afirmar, gritar directamente a una víctima para ingeniero social su código MFA, en zona de un ataque de la mesa de ayuda)
- Los registradores de dominio de la ingeniería social tomar el control del DNS de la estructura objetivo, secuestrando sus registros de MX y el correo entrante, y el uso de esto para hacerse cargo de los entornos de aplicaciones comerciales de la compañía
- Y luego, utilizando kits de phishing Aitm MFA-ByPass como Evilginx para robar sesiones de usuarios en vivo, evitando todas las formas comunes de MFA (con la excepción de WebAuthn/Fido2)
 |
| Páginas de phishing de araña dispersas que ejecutan Evilginx. Fuente: Investigadores de SilentPush |
Por lo tanto, las estafas de la mesa de ayuda son una parte importante de su kit de herramientas, pero no es la imagen completa. Métodos como AITM en particular se han disparado en popularidad este año como una forma confiable y escalable de ocurrir por suspensión el MFA y alcanzar la adquisición de la cuenta, con atacantes que usan estos kits de herramientas como el habitual de facto, lo que es creativo en sus métodos de diversión de detección y, en algunos casos, evade vectores de entrega de entrega habitual como el correo electrónico para certificar el éxito de sus campañas de phishing.
Obtenga más información sobre cómo los kits de phishing modernos están evadiendo los controles de detección en este seminario web a pedido de Push Security.
La araña dispersa está evadiendo conscientemente controles de seguridad establecidos
Por lo tanto, hay más para el conjunto de herramientas de Spider disperso que solo las estafas de la mesa de ayuda. De hecho, su enfoque puede clasificarse ampliamente como evadiendo conscientemente controles establecidos en el punto final y la capa de red atacando identidades.
Desde el punto de adquisición de la cuenta, todavía siguen patrones repetibles:
- La cosecha y la exfiltración de datos de los servicios en la cirro y SaaS, donde el monitoreo es típicamente menos consistente que los entornos locales tradicionales, y la exfiltración a menudo se combina con la actividad natural. Muchas organizaciones simplemente no tienen los registros o la visibilidad para detectar actividades maliciosas en la cirro de todos modos, y todavía se ha gastado a una araña dispersa manipulando los registros de la cirro (por ejemplo, filtrando los registros de AWS CloudTrail de aventura, pero no la deshabilitó por completo para no indultar la sospecha).
- Dirigir entornos VMware para la implementación de ransomware. Lo hacen agregando su cuenta de beneficiario comprometida al Familia VMware Administradores en vCentre (si es necesario, van tras cuentas con privilegios de nivel superior de forma predeterminada). A partir de aquí, pueden alcanzar al entorno VMware a través de la capa ESXI Hypervisor, donde el software de seguridad es inexistente, sin ocurrir por suspensión EDR y otros controles típicos basados en el punto final y host en los que confía para evitar la ejecución de ransomware.
El tema esencia? Sudando sus controles de seguridad establecidos.
Conclusión
Puede pensar en la araña dispersa como una especie de actor de amenaza de “post-MFA” que hace todo lo posible para sortear los controles de seguridad establecidos. Al apuntar a identidades y adquisiciones de cuentas, pasan por suspensión el punto final y las superficies de red tanto como sea posible, hasta el final de la cautiverio de ataque, momento en el cual es casi demasiado tarde para encargar en esos controles.
Por lo tanto, no se supervise sobre las estafas de la mesa de ayuda: debe considerar su superficie de ataque de identidad más amplia y varios métodos de intrusión, desde aplicaciones y cuentas con brechas de MFA, cuentas locales que dan a los atacantes una puerta trasera en cuentas de otro modo se acceden con SSO y Kits de phishing AITM de Byming MFA que son los nuevos ataques normales para los ataques de peces.
Defiende a su estructura de TTPS de araña dispersa (no solo estafas de la mesa de ayuda)
Para obtener más información sobre el kit de herramientas de identidad de Spider disperso, que cada vez se adopta cada vez más como habitual por grupos de amenazas, consulte el zaguero seminario web de Push Security, ¡ahora adecuado a pedido!
Aprenda cómo la seguridad de empuje detiene los ataques de identidad
Push Security proporciona capacidades integrales de detección y respuesta de ataque de identidad contra técnicas como phishing de AITM, relleno de credenciales, pulverización de contraseñas y secuestro de sesión utilizando tokens de sesión robados. Igualmente puede usar Push para encontrar y solucionar vulnerabilidades de identidad en cada aplicación que usen sus empleados, como: inicios de sesión trasgo; Brechas de cobertura de SSO; Brechas de MFA; contraseñas débiles, violadas y reutilizadas; Integraciones arriesgadas de OAuth; y más.
Si desea obtener más información sobre cómo Push lo ayuda a detectar y derrotar técnicas de ataque de identidad comunes, reserve poco de tiempo con uno de nuestro equipo para una demostración en vivo.
