Compromie van zakelijke e-mail (BEC) is een enorme en winstgevende zwendel, maar Microsoft heeft een deuk in één operatie gezet door zijn cloudinfrastructuur uit te schakelen.
Om deze oplichters tegen te gaan, heeft Microsoft zijn Digital Crimes Unit ingeschakeld om de infrastructuur die ze gebruiken aan te pakken. Net als andere bedrijven zijn BEC-oplichters naar de cloud verhuisd om hun activiteiten uit te voeren, maar Microsoft beweert dat zijn onderzoekers een grote BEC-groep hebben verstoord die grote cloudproviders gebruikte.
Hoewel ransomware de krantenkoppen haalt, blijft BEC het duurste cybercriminaliteitsprobleem voor Amerikaanse bedrijven. De FBI meldde onlangs dat Amerikanen in 2020 meer dan $ 4,2 miljard hebben verloren aan cybercriminelen en oplichters. BEC was verreweg de grootste oorzaak van de gerapporteerde verliezen, met een totaal van $ 1,8 miljard over 19.369 klachten.
ZIE: Netwerkbeveiligingsbeleid (TechRepublic Premium)
In dit geval de oplichters gebruikte cloudgebaseerde infrastructuur om e-mailaccounts te compromitteren via phishing, en voegde vervolgens regels voor het doorsturen van e-mail toe aan die accounts, waardoor de aanvallers toegang kregen tot e-mails over financiële transacties.
De aanvallers gebruikten ook verschillende technieken om de inspanningen van onderzoekers om hun activiteiten en infrastructuur bloot te leggen, te dwarsbomen.
“Het gebruik van de infrastructuur van de aanvaller die wordt gehost in meerdere webservices stelde de aanvallers in staat om heimelijk te opereren, kenmerkend voor BEC-campagnes. De aanvallers voerden afzonderlijke activiteiten uit voor verschillende IP's en tijdframes, waardoor het moeilijker werd voor onderzoekers om schijnbaar ongelijksoortige verbanden activiteiten als een enkele operatie”, leggen Microsoft-beveiligingsonderzoekers uit.
Microsoft merkt op dat BEC-aanvallen moeilijk te detecteren zijn omdat ze over het algemeen niet op de waarschuwingslijst van een verdediger verschijnen en in plaats daarvan opgaan in legitiem netwerkverkeer.
Microsoft promoot zijn vermogen om BEC-misdrijven te detecteren vanwege zijn gigantische cloudactiviteiten in Azure en Microsoft 365, waardoor het inzicht krijgt in e-mailverkeer, identiteiten, eindpunten en cloud.
“Gewapend met informatie over phishing-e-mails, kwaadaardig gedrag op eindpunten, activiteiten in de cloud en gecompromitteerde identiteiten, hebben Microsoft-onderzoekers de punten met elkaar verbonden, een beeld gekregen van de end-to-end aanvalsketen en activiteiten getraceerd naar de infrastructuur”, zei Microsoft.
Microsoft correleerde de gerichte BEC-campagne met een eerdere phishing-aanval, die de aanvallers inloggegevens en toegang tot de Office 365-mailboxen van de slachtoffers gaf. Het merkt op dat het inschakelen van multi-factor authenticatie deze phishing-aanvallen kan voorkomen.
De onderzoekers ontdekten dat voordat de aanvallers regels maakten voor het doorsturen van e-mail, de e-mailaccounts een phishing-e-mail ontvingen met een spraakbericht en een HTML-bijlage. De e-mails kwamen uit de adresruimte van een externe cloudprovider.
De phishing-campagne misleidde gebruikers door een valse maar realistisch ogende Microsoft-aanmeldingspagina te maken met de gebruikersnaam al ingevuld, en een JavaScript-script te gebruiken om de gestolen wachtwoorden vast te leggen en door te sturen.
De doorstuurregels waren vrij eenvoudig. Als de hoofdtekst van de e-mail de woorden “factuur”, “betaling” of “afschrift” bevatte, werden de gecompromitteerde accounts geconfigureerd om de e-mails door te sturen naar het e-mailadres van de aanvaller.
ZIE: Deze nieuwe ransomware-groep beweert tot nu toe meer dan 30 organisaties te hebben gehackt
Hoewel de aanvallers verschillende cloudinfrastructuur gebruikten om hun activiteiten te verbergen, vond Microsoft enkele gemeenschappelijke elementen in de user agents, zoals dat de doorstuurregels zijn gemaakt met Chrome 79 en dat ze regels gebruikten om geen MFA-melding te activeren bij het inloggen op een Microsoft-account .
“Inloggegevens worden gecontroleerd met user-agent “BAV2ROPC”, wat waarschijnlijk een codebasis is die verouderde protocollen zoals IMAP/POP3 gebruikt, tegen Exchange Online. Dit resulteert in een ROPC OAuth-stroom, die een “invalid_grant” retourneert in case MFA is ingeschakeld, dus er wordt geen MFA-melding verzonden”, merkt Microsoft op.
Toen uit onderzoek bleek dat aanvallers cloudserviceproviders misbruikten om deze campagne uit te voeren, rapporteerde Microsoft zijn bevindingen aan de cloudbeveiligingsteams voor deze providers, die de overtredende accounts schorsten, wat resulteerde in de verwijdering van de infrastructuur.
Beveiliging
De beste browsers voor privacy: browse veilig op het grote slechte internet Cyberbeveiliging 101: bescherm uw privacy tegen hackers, spionnen en de overheid De beste antivirussoftware en apps De beste VPN's voor bedrijven en thuis gebruik de beste beveiligingssleutels voor tweefactorauthenticatie Ransomware: doe deze drie dingen om uw netwerk te beschermen tegen aanvallen (ZDNet YouTube)
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 