Microsoft advierte: cambiar la contraseña no basta frente a ataques informáticos que no se pueden detener.
Los métodos tradicionales de autodefensa ya no tienen sentido.
Microsoft informó sobre una nueva serie de ataques multietapa en los que se empleó un esquema de interceptación de sesión (AiTM) combinado con métodos de compromiso de correo empresarial (BEC). Las organizaciones del sector energético fueron el objetivo; los atacantes utilizaron activamente el servicio SharePoint para distribuir enlaces maliciosos y afianzarse en el sistema.
El primer paso del ataque se llevó a cabo mediante un correo de phishing enviado desde una dirección perteneciente a una organización externa previamente comprometida. El mensaje contenía un enlace a un documento de SharePoint, presentado con el estilo de las notificaciones típicas de Microsoft. Al hacer clic conducía a una página de autenticación que imitaba el acceso al recurso corporativo. La confianza en ese mensaje aumentaba por el uso de una interfaz conocida del servicio en la nube y por la suplantación del asunto del correo.
Tras obtener acceso a la cuenta, los atacantes la usaron para enviar más correos dentro y fuera de la empresa. En nombre de empleados reales se enviaron más de 600 mensajes con nuevos enlaces de phishing, y los destinatarios se seleccionaron según el historial de conversaciones para aumentar las posibilidades de éxito.
Para ocultar huellas y mantener una presencia desapercibida en el sistema se emplearon técnicas habituales: se crearon reglas en el buzón que eliminaban automáticamente los correos entrantes y los marcaban como leídos. Además, los delincuentes rastreaban las respuestas a los mensajes sospechosos y reaccionaban por su cuenta para confirmar la autenticidad del envío y evitar alarmar a los destinatarios.
El compromiso de cuentas no se limitó a un solo usuario. Quienes siguieron el enlace malicioso fueron sometidos a un ataque adicional de interceptación de datos de sesión. Los especialistas de Microsoft registraron signos característicos de intrusión, incluidos accesos repetidos desde direcciones IP sospechosas.
Según la empresa, las medidas de respuesta estándar en estos casos no son suficientes. Cambiar simplemente la contraseña no soluciona el problema si las cookies de sesión siguen vigentes y existen mecanismos para eludir la autenticación multifactor (MFA). En algunos casos los atacantes cambiaron la configuración de la autenticación multifactor, redirigiendo los códigos de un solo uso a números de teléfono que controlaban.
Para protegerse eficazmente de ataques similares, Microsoft recomienda un enfoque integral que incluya políticas de acceso condicional, monitorización de la actividad, uso de certificados y claves físicas, así como la revisión continua de accesos sospechosos y de manipulaciones en buzones de correo. La empresa también empleó mecanismos de eliminación automática de correspondencia maliciosa, incluida la función ZAP, y ayudó manualmente a los clientes a remediar las consecuencias del compromiso.
El ataque subraya la necesidad de niveles adicionales de protección al usar servicios en la nube, sobre todo en sectores de alto riesgo. Incluso con la autenticación multifactor es importante proteger los datos de sesión y reaccionar a tiempo ante actividades atípicas en el sistema.