Mandiant revela ataques de Vishing estilo ShinyHunters robando MFA para brechas SaaS

Blog Noticias generales Todos los autores Todas las etiquetas
Lo sentimos, el contenido de esta página no está disponible en el idioma seleccionado
Alex Vance

Mandiant expone sofisticados ataques de Vishing estilo ShinyHunters dirigidos a plataformas SaaS

Mandiant, propiedad de Google, ha emitido una alerta crítica, detallando una expansión significativa en la actividad de amenazas que aprovecha el phishing de voz (vishing) altamente sofisticado y sitios de recolección de credenciales meticulosamente elaborados. Estos ataques, que exhiben un modus operandi consistente con el grupo de hackers con motivación financiera conocido como ShinyHunters, están diseñados para eludir la autenticación multifactor (MFA) y obtener acceso no autorizado a plataformas críticas de Software como Servicio (SaaS), lo que representa un riesgo grave para las organizaciones a nivel global.

El panorama de amenazas en evolución: el modus operandi de ShinyHunters

ShinyHunters, un grupo notorio históricamente asociado con violaciones de datos a gran escala y extorsión, parece estar evolucionando sus tácticas. Si bien anteriormente eran conocidos por explotar vulnerabilidades y la exfiltración directa de bases de datos, su actual giro hacia el vishing avanzado indica una comprensión sofisticada de los vectores de ataque centrados en el ser humano y las debilidades inherentes en las implementaciones tradicionales de MFA. Los hallazgos de Mandiant subrayan una tendencia preocupante en la que los actores de amenazas combinan la destreza técnica con la perspicacia de la ingeniería social para lograr sus objetivos.

Anatomía de la campaña de Vishing: la ingeniería social en su núcleo

Los ataques observados comienzan con un componente de vishing altamente convincente. Los actores de amenazas se hacen pasar por personal de soporte de TI legítimo, personal de mesa de ayuda o incluso ejecutivos de la organización objetivo. Estas llamadas suelen ir precedidas o sincronizadas con un reconocimiento inicial para recopilar nombres de empleados, roles y patrones de comunicación internos. El objetivo es establecer confianza y manipular a las víctimas para que revelen información sensible o visiten sitios web maliciosos.

  • Pretexting: Los atacantes elaboran pretextos complejos, como "intentos de inicio de sesión sospechosos detectados", "problemas de bloqueo de cuenta" o "actualizaciones urgentes del sistema que requieren acción inmediata", para crear una sensación de urgencia y miedo.
  • Suplantación de voz: El uso de modulación de voz sofisticada o incluso audio deepfake (aunque no confirmado explícitamente por Mandiant para esta campaña específica, es una amenaza emergente) mejora la credibilidad de la suplantación.
  • Manipulación psicológica: Los atacantes aprovechan los principios de autoridad y escasez para presionar a las víctimas a un cumplimiento inmediato, reduciendo su capacidad para evaluar críticamente la situación.

Infraestructura de recolección de credenciales: mimetismo y engaño

Un elemento central de estos ataques son los sitios falsos de recolección de credenciales. Estos sitios están meticulosamente diseñados para imitar los portales de inicio de sesión de las plataformas SaaS objetivo o las aplicaciones corporativas internas. El nivel de detalle en estas réplicas, incluyendo la marca, las URL y los flujos de autenticación, es a menudo tan preciso que es poco probable que los usuarios desprevenidos los identifiquen como fraudulentos.

Una vez que una víctima es contactada a través de vishing, es dirigida a estos sitios maliciosos. Los sitios suelen solicitar el nombre de usuario, la contraseña y, de manera crucial, un código o token MFA. Al capturar estas credenciales en tiempo real, los actores de amenazas pueden usarlas inmediatamente para autenticarse en la plataforma SaaS legítima antes de que expire el token MFA, eludiendo eficazmente la capa de seguridad.

  • Suplantación de dominio: Los actores de amenazas registran dominios de aspecto similar o aprovechan el typosquatting para crear URL que se asemejan mucho a los dominios corporativos legítimos, lo que mejora la ilusión de autenticidad.
  • Kits de phishing en tiempo real: La infraestructura a menudo utiliza kits de phishing avanzados capaces de retransmitir credenciales y tokens MFA instantáneamente, asegurando que el actor de la amenaza pueda completar el proceso de inicio de sesión en el servicio legítimo casi simultáneamente con el envío de la víctima.
  • Objetivos de la plataforma SaaS: El enfoque en las plataformas SaaS es estratégico. Estas plataformas a menudo contienen grandes cantidades de datos organizacionales sensibles, proporcionan acceso a sistemas internos y pueden servir como plataformas de lanzamiento para movimientos laterales adicionales o ataques a la cadena de suministro.

Eludiendo la MFA: el talón de Aquiles de la autenticación moderna

Si bien la MFA es una piedra angular de la ciberseguridad moderna, estos ataques de vishing explotan su naturaleza en tiempo real. Al obtener tanto las credenciales primarias como el código MFA de un solo uso directamente del usuario durante la llamada de vishing, los atacantes eluden la protección prevista. Esta técnica es distinta de los ataques de fatiga de MFA, donde los usuarios son bombardeados con notificaciones push hasta que aprueban una sin darse cuenta, aunque ambos tienen como objetivo eludir la MFA.

La efectividad de este método radica en la utilización inmediata del token MFA robado. Una vez que la víctima ingresa sus detalles en el sitio falso, los atacantes ingresan concurrentemente estos detalles en el portal de inicio de sesión de SaaS legítimo. El token MFA enviado por la víctima se utiliza entonces, otorgando a los atacantes cookies de sesión y acceso no autorizado.

Análisis forense digital y atribución de actores de amenazas

La respuesta a ataques tan sofisticados requiere sólidas capacidades forenses digitales. Los equipos de respuesta a incidentes deben analizar meticulosamente los registros de red, los encabezados de correo electrónico y la telemetría de los puntos finales para identificar los Indicadores de Compromiso (IoC) y comprender el alcance total de la brecha. Esto incluye identificar el origen de los enlaces maliciosos, analizar la infraestructura del sitio de phishing y rastrear la actividad del atacante.

Por ejemplo, en un entorno controlado durante el reconocimiento inicial o el análisis de un enlace sospechoso, herramientas similares a grabify.org pueden proporcionar telemetría inmediata y procesable. Dichas herramientas están diseñadas para recopilar metadatos avanzados al interactuar con el enlace, incluida la dirección IP de origen, la cadena de Agente de Usuario, la información del ISP y las huellas dactilares del dispositivo. Estos datos pueden ser invaluables para la atribución inicial del actor de la amenaza, la comprensión de sus patrones de reconocimiento de red y la construcción de un perfil de su infraestructura operativa. Sin embargo, su uso debe regirse por estrictas pautas éticas y marcos legales, principalmente para la investigación defensiva o la respuesta a incidentes dentro de un alcance autorizado.

Además, la extracción de metadatos de los canales de comunicación (por ejemplo, registros de llamadas, encabezados de correo electrónico) y el análisis del tráfico de red en busca de patrones inusuales son cruciales para identificar el punto inicial de compromiso y el movimiento lateral posterior.

Estrategias defensivas y mitigación

Las organizaciones deben implementar una estrategia de defensa de múltiples capas para contrarrestar estas amenazas en evolución:

  • Capacitación mejorada de los empleados: La capacitación regular e integral de concientización sobre seguridad, enfocada en técnicas avanzadas de ingeniería social, especialmente el vishing, es primordial. Los empleados deben ser educados sobre cómo verificar solicitudes no solicitadas, nunca proporcionar credenciales por teléfono y reportar actividades sospechosas de inmediato.
  • Implementaciones robustas de MFA: Si bien los ataques de vishing tienen como objetivo la MFA, las formas más sólidas de MFA, como los tokens de hardware FIDO2/WebAuthn (por ejemplo, YubiKeys), son significativamente más resistentes a este tipo de ataques que la MFA basada en SMS o notificaciones push, ya que se basan en una prueba criptográfica de posesión en lugar de un código transferible.
  • Políticas de acceso condicional: Implementar políticas que restrinjan el acceso a las plataformas SaaS basándose en la postura del dispositivo, la ubicación geográfica, la reputación de IP y las anomalías de comportamiento.
  • Caza proactiva de amenazas: Monitorear continuamente los intentos de inicio de sesión sospechosos, los patrones de acceso inusuales y las llamadas API anómalas dentro de los entornos SaaS.
  • Plan sólido de respuesta a incidentes: Desarrollar y probar regularmente un plan de respuesta a incidentes específicamente adaptado para el robo de credenciales y las brechas de la plataforma SaaS, asegurando una detección, contención y erradicación rápidas.
  • Monitoreo de dominios: Monitorear proactivamente los dominios de aspecto similar y las URL con errores tipográficos que podrían usarse para la recolección de credenciales.

Conclusión

Los hallazgos de Mandiant sirven como un claro recordatorio de la amenaza persistente y en evolución que representan grupos sofisticados con motivación financiera como ShinyHunters. La convergencia de la ingeniería social avanzada (vishing) con la explotación técnica de los flujos de autenticación (elusión de MFA a través de la recolección de credenciales en tiempo real) presenta un desafío formidable. Al comprender los intrincados mecanismos de estos ataques e implementar medidas defensivas integrales, las organizaciones pueden fortalecer significativamente su resiliencia contra estas amenazas de alto impacto.

mandiantshinyhuntersvishingmfa-bypasssaas-securitycybersecurity