Investigadores descubrieron KnockKnock, un ataque a las cuentas de correo de Office 365 Exchange Online, proveniente de 16 países de todo el mundo y dirigida a organizaciones dedicadas a la manufactura, servicios financieros, salud, productos de consumo y el sector público de Estados Unidos. Los atacantes detrás de KnockKnock se enfocaron en las cuentas de correo corporativas automatizadas no vinculadas a una identidad humana, y que a menudo carecen de políticas de seguridad avanzadas.

Esta campaña está basada en una singular estrategia de ataque enfocada a cuentas administrativas comúnmente usadas para integrar sistemas de correo corporativo con marketing y software de venta automática. Ya que estas cuentas no están vinculadas a una identidad humana y requieren un uso automatizado, son menos propensas a estar protegidas con políticas de seguridad como una autenticación multi factor (MFA) y cambio periódico de contraseña.

Ganando acceso en una cuenta empresarial de Office 365, la campaña KnockKnock típicamente tomaría todos los datos de la bandeja de entrada, creando una nueva regla de bandeja de entrada e iniciaría un ataque phishing desde esta bandeja controlada en un intento por propagar la infección en toda la empresa.

Alcance del ataque

La campaña KnockKnock comenzó en mayo de 2017 y sigue en marcha, con la mayor parte de la actividad ocurrida entre junio y agosto. Con un enfoque orientado a la precisión en lugar de la segmentación de alto volumen, atacaron en promedio 5 direcciones de correo por cliente.

Los investigadores de Skyhigh Networks detectaron estos ataques cuando los inicios de sesión para Office 365 provenían de lugares inusuales y las actividades desafiaban los patrones de comportamiento estándar según lo analizado por el algoritmo de aprendizaje de Skyhigh. Este análisis ofrece un mapa detallado de los ataques.

• Los atacantes usan 63 redes y 83 direcciones IP para conducir sus ataques.
• Aproximadamente 90 por ciento de los intentos de inicio de sesión provienen de China, con intentos adicionales originados en Rusia, Brasil, U.S., Argentina y otros 11 países.
• Los objetivos incluyen vendedores de infraestructura e Internet de las cosas (IoT), así como departamentos relacionados a la infraestructura y IoT en grandes empresas, a través de industrias como manufactura, servicios financieros, salud, productos de consumo y el sector público estadounidense.
• Casi todas las cuentas fueron confirmadas como cuentas "no humanas" del sistema.

Artículos relacionados:

• Pescando información Phishing
• Privacidad de la información. Ataques dirigidos
• Pharming. La evolución de un ataque