Los clientes de Azure enfrentan una gran amenaza. Una empresa de seguridad informática ha identificado la propagación de una nueva campaña de phishing enfocada en usuarios privilegiados. Estos incluyen directivos de ventas, directores de cuentas, financieros, vicepresidentes, presidentes, funcionarios financieros en jefe y CEO. El primer conjunto de ataques inició en noviembre de 2023 y la amenaza todavía está presente. Lo bueno es que puede protegerse y mitigar este ataque.
La explicación del plan de ataque
El ataque inicia al enviar correos electrónicos de phishing para obtener las credenciales de cuentas de Microsoft 365 de usuarios privilegiados en una organización. Cuando una víctima hace clic en el enlace del correo electrónico de phishing, comienza la descarga de un archivo de carga útil a su equipo para atacar sus aplicaciones de Microsoft 365.
Una vez se vulnera la cuenta de Microsoft 365, el atacante obtiene acceso a todos los datos y parámetros del usuario. Para extender su permanencia, los atacantes crean los siguientes impedimentos:
∙ MFA: el atacante reemplaza el factor único de autenticación del usuario afectado con sus propios métodos de MFA. Estos incluyen una dirección de correo electrónico alternativa, un número de teléfono o Microsoft Authenticator. Esto le da mucho tiempo para crear caos hasta que se reinicia la MFA del usuario, pues este no tendrá acceso a los factores de autenticación.
∙ Alternancia de proxies: los atacantes usan proxies para ocultar sus ubicaciones de inicio de sesión y direcciones IP. Esto les permite disfrazar su verdadera ubicación e imitar los comportamientos de inicio de sesión del usuario original.
∙ Phishing interno: los hackers intentan ampliar su acceso enviando correos electrónicos de phishing personalizados desde la cuenta interna comprometida y aprovechando otras cuentas para moverse lateralmente dentro de la compañía. Ya que el correo electrónico parece provenir de un usuario interno legítimo, es menos probable que otros usuarios lo reconozcan como spam.
∙ Modificaciones a las reglas de los buzones: los atacantes modifican las reglas de buzones existentes o crean nuevas para eliminar, redactar o confundir la actividad maliciosa.
¿Cómo puede protegerse de un ataque de phishing?
Las siguientes medidas pueden ayudarlo a prevenir o protegerse ante ataques de phishing:
∙ Implemente la MFA: identifique los puntos de interés para los atacantes y corríjalos. Estos pueden incluir cuentas protegidas solo con un factor único de autenticación, políticas que no puedan identificar intentos de fuerza bruta al momento y cuentas privilegiadas con acceso a datos que probablemente no necesiten. Asegúrese de que sus cuentas privilegiadas están protegidas usando métodos de MFA para garantizar que solo los usuarios autorizados puedan tener acceso a ellas.
∙ Centralice una gestión estricta: controle todas sus cuentas privilegiadas al usar una sola unidad administrativa e implementar políticas de acceso condicional estrictas.
∙ Planee a futuro frente a vulneraciones: tenga un plan de acción sobre lo que hará si sus cuentas resultan comprometidas. Una vez haya identificado las cuentas afectadas, bloquéelas de todos los servicios inmediatamente. Cierre forzadamente sus sesiones para evitar cualquier efecto en el entorno de Microsoft 365. Restablezca sus credenciales y factores de acceso.
Cómo ManageEngine puede ayudar ante ataques de phishing
ManageEngine M365 Manager Plus es una solución para administrar Microsoft 365 que lo ayuda a proteger las cuentas privilegiadas. Le permite obtener una mejor visibilidad de su entorno, realizar todas sus tareas requeridas de forma masiva sin recurrir a scripts de PowerShell, crear perfiles de auditoría y alerta personalizados para informarle de las actividades específicas que debe controlar, y crear automatizaciones para realizar acciones secuencialmente sin intervención humana alguna.
Separe usuarios privilegiados con un factor único de autenticación en un solo inquilino virtual
En M365 Manager Plus puede crear inquilinos virtuales para alojar objetos de usuarios que satisfagan ciertas condiciones en un solo punto de control. Consolide todas sus cuentas privilegiadas en una ubicación para facilitar la generación de informes, ejecución de tareas y auditoría frecuente sin la necesidad de procesar otras cuentas.
Cree perfiles para controlar cambios a configuraciones de MFA
Ya que la forma más efectiva que los atacantes tienen para cubrir sus huellas es habilitar la MFA, la mejor forma de identificar y actuar ante la presencia de atacantes es controlar esta actividad apenas suceda.
M365 Manager Plus puede ajustarse para controlar si se habilita o deshabilita la MFA para usuarios en su entorno o en un inquilino virtual particular. Una vez el cambio sucede, se notifica a los administradores por correo electrónico con todos los detalles que se requieren para tomar medidas correctivas adicionales sobre los objetos.
Establezca políticas de automatización para acelerar las medidas correctivas
Tradicionalmente, una vez obtiene una lista de usuarios afectados, tiene que revocar su acceso de usuario, bloquearlos, y restablecer sus métodos de MFA y contraseñas. Sin embargo, solo necesitará revocar el acceso a Azure de los usuarios tras configurar políticas de automatización en M365 Manager Plus. Las otras medidas se realizarán automáticamente.
Puede descargar una prueba gratuita de 30 días de M365 Manager Plus para ver estas funciones en acción por sí mismo y explorar las otras funciones que ofrece. También puede contactarnos para una demostración gratuita y personalizada sobre cómo configurar la solución.
