La compromission de la messagerie professionnelle (BEC) est une arnaque énorme et rentable, mais Microsoft a mis un terme à une opération en démantelant son infrastructure cloud.
Pour contrer ces escrocs, Microsoft a fait appel à son Digital Crimes Unit pour s'attaquer à l'infrastructure qu'ils utilisent. Tout comme d'autres entreprises, les escrocs de BEC sont passés au cloud pour exécuter des opérations, mais Microsoft affirme que ses enquêteurs ont perturbé un grand groupe BEC qui utilisait les principaux fournisseurs de cloud.
Alors que les ransomwares font la une des journaux, BEC reste le problème de cybercriminalité le plus coûteux pour les entreprises américaines. Le FBI a récemment signalé que les Américains avaient perdu plus de 4,2 milliards de dollars au profit de cybercriminels et d'escrocs en 2020. BEC était de loin la principale cause de pertes signalées, totalisant 1,8 milliard de dollars sur 19 369 plaintes.
VOIR : Politique de sécurité du réseau (TechRepublic Premium)
Dans ce cas, les escrocs utilisé une infrastructure basée sur le cloud pour compromettre les comptes de messagerie via le phishing, puis a ajouté des règles de transfert d'e-mails à ces comptes, donnant aux attaquants l'accès aux e-mails concernant les transactions financières.
Les attaquants ont également utilisé plusieurs techniques pour contrecarrer les efforts des enquêteurs pour découvrir leurs activités et leur infrastructure.
“L'utilisation d'une infrastructure d'attaquant hébergée dans plusieurs services Web a permis aux attaquants d'opérer de manière furtive, caractéristique des campagnes BEC. Les attaquants ont effectué des activités discrètes pour différentes IP et différentes périodes, ce qui a rendu plus difficile pour les chercheurs la corrélation apparemment disparate activités en une seule opération », expliquent les chercheurs en sécurité de Microsoft.
Microsoft note que les attaques BEC sont difficiles à détecter car elles n'apparaissent généralement pas sur la liste d'alerte d'un défenseur et se fondent plutôt dans le trafic réseau légitime.
Microsoft fait la promotion de sa capacité à détecter les crimes BEC en raison de son activité cloud gigantesque sur Azure et Microsoft 365, ce qui lui donne une visibilité sur le trafic de messagerie, les identités, les points de terminaison et le cloud.
« Armés de renseignements sur les e-mails de phishing, les comportements malveillants sur les terminaux, les activités dans le cloud et les identités compromises, les chercheurs de Microsoft ont fait le lien, ont obtenu une vue d'ensemble de la chaîne d'attaque et ont retracé les activités jusqu'à l'infrastructure » Microsoft a dit.
Microsoft a corrélé la campagne BEC ciblée à une précédente attaque de phishing, qui a donné aux attaquants des informations d'identification et un accès aux boîtes aux lettres Office 365 des victimes. Il note que l'activation de l'authentification multifacteur peut empêcher ces attaques de phishing.
Ses chercheurs ont découvert qu'avant que les attaquants ne créent des règles de transfert d'e-mails, les comptes de messagerie recevaient un e-mail de phishing avec un leurre de message vocal et une pièce jointe HTML. Les e-mails provenaient de l'espace d'adressage d'un fournisseur de cloud externe.
La campagne de phishing a dupé les utilisateurs en créant une page de connexion Microsoft fausse mais réaliste avec le nom d'utilisateur déjà renseigné, et a utilisé un script JavaScript pour capturer et transmettre les mots de passe volés.
Les règles de transfert étaient assez simples. Fondamentalement, si le corps de l'e-mail contenait les mots « facture », « paiement » ou « relevé », les comptes compromis étaient configurés pour transférer les e-mails à l'adresse e-mail de l'attaquant.
VOIR : Ce nouveau groupe de ransomware prétend avoir violé plus de 30 organisations à ce jour
Alors que les attaquants utilisaient différentes infrastructures cloud pour dissimuler leurs activités, Microsoft a trouvé des éléments communs dans les agents utilisateurs, tels que le fait que les règles de transfert ont été créées avec Chrome 79 et qu'ils ont utilisé des règles pour ne pas déclencher de notification MFA lors de la connexion à un compte Microsoft. .
“Contrôle des informations d'identification avec l'agent utilisateur “BAV2ROPC”, qui est probablement une base de code utilisant des protocoles hérités comme IMAP/POP3, par rapport à Exchange Online. Cela se traduit par un flux ROPC OAuth, qui renvoie un “invalid_grant” dans cas MFA est activé, donc aucune notification MFA n'est envoyée », note Microsoft.
Alors que ses recherches révélaient que des attaquants avaient abusé des fournisseurs de services cloud pour perpétrer cette campagne, Microsoft a signalé ses conclusions aux équipes de sécurité cloud de ces fournisseurs, qui ont suspendu les comptes incriminés, entraînant le retrait de l'infrastructure.
Sécurité
Les meilleurs navigateurs pour la confidentialité : Naviguez en toute sécurité sur le grand méchant Internet Cybersécurité 101 : Protégez votre vie privée contre les pirates, les espions et le gouvernement Les meilleurs logiciels et applications antivirus Les meilleurs VPN pour les entreprises et les particuliers utiliser Les meilleures clés de sécurité pour l'authentification à deux facteurs Ransomware : faites ces trois choses pour protéger votre réseau contre les attaques (ZDNet YouTube)
Sujets connexes :
Sécurité Gestion des données TV CXO Data Centers 