Vulnerabilidades de MOVEit
Las vulnerabilidades de MOVEit observadas en el tercer trimestre fueron vulnerabilidades desastrosas que llevaron al compromiso de varios sistemas y al robo de datos para varias organizaciones. Cubo el valencia de los sistemas comprometidos y los datos robados, es seguro que los actores de amenazas seguirán intentando explotar vulnerabilidades similares en el futuro. Es probable que continúen apuntando a procesos que se consideran vitales para las operaciones comerciales, por lo que el compromiso de esos sistemas será difícil de detectar y más difícil de organizar. Estos ataques demuestran la menester de una inteligencia procesable actualizada que referencia incluso cuando los procesos legítimos están comprometidos.
Inteligencia finalizada: temas y tendencias
A lo amplio del segundo trimestre de 2023, Cofense Intelligence realizó exploración en profundidad de varias amenazas para ofrecer a los lectores una comprensión estratégica del panorama de amenazas de phishing y comunicar a los lectores sobre desarrollos repentinos o futuros. A continuación, resumimos los informes de inteligencia terminados que produjo Cofense Intelligence sobre temas destacados y tendencias identificadas durante este período.
Estudio clave: directamente de la fuente: falsificación de dominios frente a cuentas comprometidas utilizadas en el phishing evasivo
Los actores de amenazas hacen todo lo posible para que los correos electrónicos de phishing parezcan auténticos. El simple hecho de falsificar un dominio de correo electrónico de remitente de confianza puede ayudarlos a demorar hasta allí, pero esta táctica todavía puede ser comprensible de detectar. Entonces, ¿cuál es una forma más convincente para que un actor de amenazas reciba un correo electrónico a través de un Secure Email Gateway (SEG) y llegue a la bandeja de entrada del heredero? En ingenuidad, expedir un correo electrónico auténtico desde una cuenta comprometida en ese dominio de confianza. Un dominio de confianza es cualquier nombre de dominio que el destinatario reconoce y en el que confía. No es solo el dominio de la dirección del remitente el que se usa para aumentar la credibilidad y la verificabilidad, sino todavía los dominios legítimos en el interior de las URL que se usan para distribuir contenido de phishing. Combinados, estos nociones crean un correo electrónico confiable y de aspecto probado, lo que permite que los correos electrónicos lleguen a las bandejas de entrada, evita los SEG, genera confianza con el heredero y aumenta las posibilidades de un ataque exitoso.
Estudio clave: el phishing de MitM crece con el uso de un proceso de inicio de sesión actual para robar credenciales
Un ataque man-in-the-middle (MitM) es el intento de un adversario de robar información al insertarse entre las víctimas y su destino esperado probado. Los actores de amenazas que combinan el phishing de credenciales con los ataques MitM han sido otra cambio en el panorama de las amenazas. En este contexto, en espacio de configurar una página de inicio de sesión falsa, el atacante atrae a las víctimas a su servidor web, que intermediará todo el proceso de autenticación entre el heredero y el destino actual. Si tienen éxito, los actores de amenazas pueden usar los nombres de heredero, las contraseñas y las cookies de sesión recopilados para obtener comunicación a la cuenta de una víctima e incluso eludir la autenticación de múltiples factores.
Si admisiblemente el tamaño de campañas de phishing de credenciales de MitM estuvo significativamente por encima del promedio desde septiembre de 2022 hasta marzo de 2023, lo que llevó a la publicación de este referencia, el tamaño disminuyó drásticamente durante el segundo trimestre de 2023, con un 54 % menos de campañas en total.