Microsoft está utilizando tácticas engañosas contra los actores de phishing al generar inquilinos honeypot de aspecto realista con acceso a Azure y atraer a los ciberdelincuentes para recopilar inteligencia sobre ellos.
Con los datos recopilados, Microsoft puede mapear la infraestructura maliciosa, obtener una comprensión más profunda de las sofisticadas operaciones de phishing, interrumpir campañas a gran escala, identificar a los ciberdelincuentes y ralentizar significativamente su actividad.
La táctica y su efecto perjudicial sobre la actividad de phishing fue descrita en la conferencia BSides Exeter por Ross Bevington, un ingeniero de software de seguridad principal de Microsoft que se autodenomina “Jefe de Engaño” de Microsoft.
Bevington creó un “honeypot híbrido de alta interacción” en el ahora retirado code.microsoft.com para recopilar inteligencia sobre amenazas de actores que van desde ciberdelincuentes menos hábiles hasta grupos de estados nación que atacan la infraestructura de Microsoft.
Ilusión de éxito en el phishing
Actualmente, Bevington y su equipo combaten el phishing aprovechando técnicas de engaño utilizando entornos completos de inquilinos de Microsoft como honeypots con nombres de dominio personalizados, miles de cuentas de usuario y actividad como comunicaciones internas y compartición de archivos.
Las empresas o investigadores típicamente configuran un honeypot y esperan a que los actores de amenazas lo descubran y hagan un movimiento. Además de desviar a los atacantes del entorno real, un honeypot también permite recopilar inteligencia sobre los métodos utilizados para violar los sistemas, que luego se pueden aplicar en la red legítima.
Aunque el concepto de Bevington es en gran parte el mismo, difiere en que lleva el juego a los atacantes en lugar de esperar a que los actores de amenazas encuentren una forma de entrar.
En su presentación en BSides Exeter, el investigador dice que el enfoque activo consiste en visitar sitios de phishing activos identificados por Defender y escribir las credenciales de los inquilinos honeypot.
Dado que las credenciales no están protegidas por autenticación de dos factores y los inquilinos están poblados con información de aspecto realista, los atacantes tienen una forma fácil de entrar y comienzan a perder tiempo buscando señales de una trampa.
Microsoft dice que monitorea aproximadamente 25,000 sitios de phishing cada día, alimentando alrededor del 20% de ellos con las credenciales del honeypot; el resto están bloqueados por CAPTCHA u otros mecanismos anti-bot.
Una vez que los atacantes inician sesión en los inquilinos falsos, lo que ocurre en el 5% de los casos, se activa un registro detallado para rastrear cada acción que toman, aprendiendo así las tácticas, técnicas y procedimientos de los actores de amenazas.
La inteligencia recopilada incluye direcciones IP, navegadores, ubicación, patrones de comportamiento, si utilizan VPN o VPS, y en qué kits de phishing se basan.
Además, cuando los atacantes intentan interactuar con las cuentas falsas en el entorno, Microsoft ralentiza las respuestas tanto como sea posible.
La tecnología de engaño actualmente hace perder a un atacante 30 días antes de que se den cuenta de que violaron un entorno falso. Durante todo ese tiempo, Microsoft recopila datos procesables que pueden ser utilizados por otros equipos de seguridad para crear perfiles más complejos y mejores defensas.
Bevington menciona que menos del 10% de las direcciones IP que recopilan de esta manera pueden correlacionarse con datos en otras bases de datos de amenazas conocidas.
El método ayuda a recopilar suficiente inteligencia para atribuir ataques a grupos motivados financieramente o incluso a actores patrocinados por estados, como el grupo de amenazas ruso Midnight Blizzard (Nobelium).
Aunque el principio de engaño para defender activos no es nuevo y muchas empresas confían en honeypots y objetos canario para detectar intrusiones e incluso rastrear a los hackers, Microsoft encontró una manera de usar sus recursos para cazar actores de amenazas y sus métodos a escala.
Fuente: Bleeping Computer