Proofpoint, reconocida empresa en el ámbito de la ciberseguridad y el cumplimiento normativo, ha destapado una campaña maliciosa en activo que ha comprometido cientos de cuentas de usuarios a nivel global, incidiendo en entornos de la plataforma de computación en la nube de Microsoft Azure desde noviembre de 2023.
Este ataque, dirigido principalmente a altos ejecutivos como directores de ventas, gerentes de cuentas y responsables financieros, utiliza técnicas de phishing de credenciales y apropiación de cuentas. Los ciberdelincuentes emplean señuelos individualizados en documentos compartidos con el fin de acceder a recursos valiosos y responsabilidades de distintas funciones empresariales.
La detección de esta campaña por parte de Proofpoint ha sido posible gracias al análisis de técnicas y patrones de comportamiento que revelan indicadores de compromiso específicos. Destaca el uso de un agente de usuario de Linux distinto para acceder a la aplicación de inicio de sesión OfficeHome, así como accesos no autorizados a aplicaciones nativas adicionales de Microsoft365.
Tras la entrada inicial de los atacantes, se suceden una serie de actividades no autorizadas que incluyen la manipulación de la autenticación multifactor, la exfiltración de datos, el phishing tanto interno como externo, el fraude financiero y la creación de reglas para eliminar toda evidencia de actividad maliciosa en los buzones de correo de las víctimas.
La infraestructura operativa utilizada por los atacantes comprende varios servidores proxy, servicios de alojamiento de datos y dominios secuestrados. Esta configuración no solo enmascara su verdadera ubicación, sino que también representa un desafío adicional para aquellos que intentan bloquear actividades maliciosas. Aunque Proofpoint no ha vinculado esta campaña a ningún grupo de ciberdelincuencia específico, se sugiere la posible implicación de atacantes rusos y nigerianos, en paralelo con ataques anteriores dirigidos a la nube.
Para protegerse de estos ataques, Proofpoint recomienda supervisar la cadena de agente de usuario y los dominios de origen en los registros para detectar y mitigar riesgos potenciales. También es crucial aplicar cambios inmediatos de credenciales para usuarios específicos comprometidos, modificar periódicamente las contraseñas de todos los usuarios, identificar accesos no autorizados a recursos confidenciales en la nube, reconocer vectores de ataque iniciales y emplear políticas de corrección automática. Estas medidas pueden reducir significativamente el tiempo de permanencia de los atacantes y minimizar los daños potenciales.
Este reciente descubrimiento subraya la importancia de mantener una vigilancia constante y adoptar estrategias de seguridad robustas para defenderse contra las amenazas emergentes en el entorno digital.
