Специалисты по кибербезопасности из Proofpoint сообщили о массовых атаках на корпоративных пользователей облачных сервисов Office 365 и G Suite. По словам экспертов, злоумышленники без особого труда обходят двухфакторную аутентификацию и получают доступ к учетным записям через незащищенный протокол IMAP.
Поражает цифра: pа шесть месяцев они проникли в отслеживаемые экспертами аккаунты более 100 тыс. раз. Чтобы предотвратить такой проходной двор, считают специалисты, нужно что-то сделать с устаревшими протоколами. Двухфакторная аутентификация не позволяет защитить аккаунты в Office 365 и G Suite в нужной мере, поскольку общие и сервисные почтовые ящики арендаторов остаются уязвимыми.
Доступ же к последним ним злоумышленники получают в ходе кампаний типа password-spraying через протокол IMAP, когда учетные записи взламывают посредством перебора часто используемых паролей либо используют базы, составленные по результатам фишинга, взломов и утечек.
В период с сентября 2018 года по февраль 2019-го мошенники использовали IMAP-атаки для угона аккаунтов руководителей и административного персонала. Захватив профили, хакеры распространяли вредоносное ПО во внутренних сетях, меняли правила переадресации email-сообщений, рассылали фишинговые письма в другие организации, а также использовали доступ к корпоративной инфраструктуре для поиска конфиденциальной информации, пригодной для продажи, или перенаправления зарплат и платежей на свои счета.
Proofpoint также подсчитали и общую статистику этого периода:
- 72% арендаторов облачных сервисов подвергались по меньшей мере одной атаке.
- В средах 40% клиентов G Suite и Office 365 обнаружилась хотя бы одна взломанная учетная запись.
- В среднем из 10 тыс. активных аккаунтов злоумышленникам удавалось захватить 15.
- За последние полгода атакам через IMAP подверглись 60% арендаторов G Suite и Office 365.
- В каждом четвертом случае злоумышленники успешно проникали в корпоративные среды.
Прошлогоднее исследование компании Bitglass показало, что в инфраструктуре 44% организаций есть по меньшей мере один зловред, предназначенный для выполнения в облаке. В среднем в таких сервисах, как OneDrive, Google Drive, Box и Dropbox, предприятия хранят около 450 тыс. объектов, то есть, на каждые 20 тыс. из них приходится один подобный файл.
Напомним, что ранее аналитики компании Check Point также наглядно продемонстрировали, что хакеры все чаще выбирают мишенью для своих атак наименее защищенные точки в ИТ-инфраструктуре организаций, то есть, публичное облако и мобильные развертывания. Причины такого положения дел: неправильная конфигурация облачных платформ (такой ответ дали 62% опрошенных). На втором месте – несанкционированный доступ к облачным ресурсам (55%), на третьем — недостаточно защищенные интерфейсы и API (50%), на четвертом – взлом учетных записей и перехват трафика данных (47%).
Читайте также на АКБ:
…Специалисты по кибербезопасности из Menlo Labs обнаружили активную еще с августа вредоносную кампанию, направленную на сотрудников банков и других финансовых учреждений в США и Великобритании. По словам экспертов, речь о фишинге и попытках заставить пользователей кликнуть по ссылкам, ведущим к файлам .zip или .gz, где их ждет троян для удаленного доступа Houdini. Для заражения атакуемых систем используются два типа полезной нагрузки – сильно обфусцированные скрипты VBS и файлы JAR.
