Hackers ignoram o MFA em contas na nuvem por meio do protocolo IMAP. Nos últimos meses, os agentes de ameaças têm cada vez mais direcionado seus ataques as contas de nuvem do Office 365 e do G Suite que estão usando o protocolo IMAP, em uma tentativa de ignorar os controles de autenticação de vários fatores (MFA), diz o relatório da Proofpoint.

Segundo o site SecurityWeek Ataques de força bruta direcionados aumentaram em sofisticação nos últimos meses, tentando comprometer as contas usando variações dos nomes de usuário e senhas expostos em grandes depósitos de credenciais, e as campanhas de phishing continuaram a fornecer caminhos adicionais para as contas corporativas.

Uma análise de mais de cem mil logons não autorizados em milhões de contas monitoradas na nuvem revelou que mais de 2% das contas de usuários foram atacadas e que 15 em 10.000 foram violadas com êxito.

Quase três quartos (72%) dos serviço de nuvem foram alvo pelo menos uma vez e 40% deles tinham pelo menos uma conta comprometida em seu ambiente, diz a Proofpoint .

Mesmo que a meta inicial não tenha sido o acesso necessário para movimentar dinheiro ou dados, os atacantes pretendem principalmente aproveitar as contas comprometidas para ataques internos de phishing ou BEC internos, que são mais difíceis de detectar em comparação com tentativas de phishing externas.

A empresa de segurança também notou que 40% de todos os logins bem-sucedidos de invasores originaram-se de endereços IP nigerianos (seu número aumentou entre novembro de 2018 e janeiro de 2019 em 65%), seguido por endereços IP chineses, em 26%. Os Estados Unidos, o Brasil e a África do Sul também foram importantes fontes de ataques.

O IMAP surgiu como o protocolo legado mais comumente usados nesses ataques, pois ignora a autenticação de vários fatores e permite que os invasores evitem o bloqueio da conta. Contas de serviço e caixas de correio compartilhadas são particularmente vulneráveis, diz a Proofpoint.

A empresa de segurança diz que mais da metade (60%) do Microsoft Office 365 e G Suite foram alvo de ataques de spray de senha baseados em IMAP, o que resultou em cerca de 25% dos usuários do Office 365 e G Suite tendo uma violação bem-sucedida. No geral, a taxa de sucesso do ataque foi de 44%.

A maioria dos ataques (63%) se originou de endereços IP nigerianos, seguidos pela infraestrutura sul-africana (21%) e os Estados Unidos via VPNs (11%).

A Proofpoint informou que observou muitas campanhas de pulverização de senhas baseadas em IMAP entre setembro de 2018 e fevereiro de 2019. Dez por cento das contas de usuários ativos nos tenants-alvo foram atingidos e 1% das contas de usuários foram violadas com sucesso.

Os atacantes utilizaram milhares de dispositivos de rede sequestrados em todo o mundo – principalmente roteadores e servidores vulneráveis ​​- como plataformas de ataque operacional. Esses dispositivos sequestrados ganharam acesso a um novo locatário a cada 2,5 dias, em média, durante um período de 50 dias ”, informa a Proofpoint.

A China foi a fonte da maioria dos ataques baseados em IMAP (53%), seguida do Brasil (39%) e dos Estados Unidos (31%). Os ataques, no entanto, geralmente se originaram de várias regiões geográficas.

As organizações afetadas são de vários setores e países, com setores de ensino fundamental e médio sendo os mais vulneráveis. Mais de 13% dos ataques bem-sucedidos foram destinados a instituições educacionais e 70% dos tenants de instituições de ensino tiveram violações desses ataques de força bruta baseados em IMAP.

Após as campanhas de phishing por e-mail, os agentes de ameaças usam as credenciais roubadas para se infiltrar nas contas dos aplicativos em nuvem dos usuários e a Proofpoint afirma que 31% de todos os locatários da nuvem estavam sujeitos a violações originadas de campanhas de phishing bem-sucedidas. Varejo, finanças e tecnologia também foram alvos.

Os invasores fazem conexões bem-sucedidas em ataques internos de phishing, movimentação lateral nas organizações e comprometimentos adicionais em organizações externas confiáveis. As organizações precisam implementar medidas de segurança inteligentes e em camadas – incluindo a educação do usuário – para combater essas ameaças em evolução, que são cada vez mais bem-sucedidas no comprometimento de contas de usuários em nuvem ”, conclui a Proofpoint.

Fonte: Security Week e Minuto da Segurança