La campaña de ataques masivos comenzó en el pasado mes de mayo y aún continúa, ya que los atacantes están utilizando una pequeña red de bots compuesta por 83 direcciones IP en 63 redes diferentes, la mayoría de ellas registradas en China, aunque también proceden de otros 15 países tales como Brasil, Rusia, Estados Unidos o Malasia, entre otros. Estos expertos subrayan el hecho de que el ataque botnet KnockKnock se lleva a cabo mediante una ingeniosa técnica que afecta a las cuentas de Office 365. El apodo que le han dado se debe a que estos atacantes intentan «golpear» las cuentas del sistema por una puerta trasera para infiltrarse en entornos de Office 365, afirma Skyhigh Networks.
Una de las claves de este nuevo ataque es que la naturaleza de las cuentas que están siendo objeto del mismo son principalmente cuentas de la suite que no están asignadas a ningún usuario individual, lo que las hace particularmente vulnerables. De este modo, una vez que los atacantes se hacen cargo de una cuenta, registran cualquier dato en la bandeja de entrada y luego crean una nueva regla de entrada para secuestrar los mensajes entrantes. Esta es la primera etapa del ataque contra las redes de la empresa, ya que una vez comprometida la mencionada cuenta, los atacantes comienzan con el phishing.
Hay que tener en consideración que estas cuentas en particular de Office 365 tienden a tener altos privilegios de acceso además de una mala protección y se suelen usar en empresas y grupos de trabajo.
Detectan un nuevo tipo de ataque que afecta a Office 365
Por lo tanto estas cuentas son las que se suelen usar para el aprovisionamiento de los usuarios en empresas, para las copias de seguridad, centros de datos, automatización de marketing, etc. Por lo tanto la razón por la que este sistema se considera tan ingenioso es que las cuentas de la suite de Microsoft atacadas tienden a proporcionar un mayor acceso y privilegios que una convencional. Todo esto es algo que los expertos de Skyhigh detectaron usando su motor de detección de anomalías y encontraron un aumento en el número de accesos anómalos, así se toparon con la actividad maliciosa en ciertas cuentas de Office 365.
Lo peor de todo ello es que la firma de seguridad dice0 que el ataque KnockKnock se dirige a más del 50% de los clientes, por lo que son muchos los grandes clientes de Office 365 que están siendo atacados con esta técnica.
Fuente: SecurityAffairs | adslzone
