Microsoft utiliza tácticas engañosas contra los actores de phishing creando inquilinos realistas con acceso a Azure y atrayendo a los ciberdelincuentes para que recopilen información sobre ellos.
Con los datos recopilados, Microsoft puede mapear la infraestructura maliciosa, comprender mejor las operaciones de phishing sofisticadas, interrumpir campañas a gran escala, identificar a los ciberdelincuentes y ralentizar significativamente su actividad.
Esta táctica y sus efectos perjudiciales sobre la actividad de phishing fueron descritos en la conferencia BSides Exeter por Ross Bevington, ingeniero principal de software de seguridad de Microsoft, autodenominándose el “gerente de engaño” de Microsoft.
Bevington creó un “honeypot híbrido de alta interacción” en el sistema, ahora retirado. código.microsoft.com para recopilar inteligencia sobre amenazas sobre actores que van desde ciberdelincuentes menos capacitados hasta grupos de estados-nación que atacan la infraestructura de Microsoft.
Ilusión de éxito del phishing
Actualmente, Bevington y su equipo combaten el phishing aprovechando técnicas de engaño utilizando entornos completos de inquilinos de Microsoft como trampas con nombres de dominio personalizados, miles de cuentas de usuario y actividades como comunicaciones internas y uso compartido de archivos.
Las empresas o los investigadores suelen configurar un honeypot y esperar a que los malos actores lo descubran y actúen. Además de distraer a los atacantes del entorno real, un honeypot también ayuda a recopilar información sobre los métodos utilizados para piratear sistemas, que luego se puede aplicar en la red legítima.
Aunque el concepto de Bevington es en gran medida el mismo, se diferencia en que entrega el juego a los atacantes en lugar de esperar a que los actores amenazantes encuentren una manera de entrar.
En su presentación de BSides Exeter, el investigador explica que el enfoque activo implica visitar sitios de phishing activos identificados por Defender y capturar las credenciales del inquilino del honeypot.
Dado que las credenciales no están protegidas por la autenticación de dos factores y los inquilinos contienen información realista, los atacantes tienen una manera fácil de entrar y comenzar a perder el tiempo buscando señales de una trampa.
Microsoft dice que monitorea alrededor de 25.000 sitios de phishing cada día, alimentando alrededor del 20 por ciento de ellos con las credenciales del honeypot; el resto está bloqueado por CAPTCHA u otros mecanismos anti-bot.
Una vez que los atacantes se conectan con los inquilinos falsos, lo que ocurre en el 5% de los casos, el sistema activa un registro detallado para rastrear cada acción que realizan, aprendiendo así las tácticas, técnicas y procedimientos de los actores maliciosos.
La información recopilada incluye direcciones IP, navegadores, ubicación, patrones de comportamiento, si usan VPN o VPS y en qué kits de phishing confían.
Además, cuando los atacantes intentan interactuar con cuentas falsas en el entorno, Microsoft ralentiza las respuestas tanto como sea posible.
Actualmente, la tecnología de engaño hace que un atacante pierda 30 días antes de darse cuenta de la violación de un entorno falso. Desde el principio, Microsoft ha recopilado datos procesables que otros equipos de seguridad pueden utilizar para crear perfiles más complejos y mejores defensas.
Bevington menciona que menos del 10% de las direcciones IP recopiladas de esta manera pueden correlacionarse con datos de otras bases de datos de amenazas conocidas.
El método recopila suficiente inteligencia para atribuir los ataques a grupos con motivación financiera o incluso a actores patrocinados por el Estado, como el grupo de amenazas ruso Midnight Blizzard (Nobelium).
Aunque el principio del engaño para defender activos no es nuevo y muchas empresas confían en honeypots y canarios para detectar intrusiones e incluso rastrear a los piratas informáticos, Microsoft ha encontrado una manera de utilizar sus recursos para rastrear a los actores de amenazas y sus métodos a gran escala.