Imagínese recibir un correo electrónico de la cuenta de correo electrónico oficial del vicepresidente de EE. UU., Mike Pence, solicitando ayuda porque se ha quedado varado en Filipinas.

En realidad, no tienes que hacerlo. Esto realmente sucedió.

El correo electrónico de Pence fue pirateado cuando aún era gobernador de Indiana, y su cuenta se usó para intentar defraudar a varias personas. ¿Cómo pasó esto? ¿Es similar a cómo fue pirateado el servidor DNC?

La piratería de correo electrónico es una de las ciberamenazas más extendidas en la actualidad. Se estima que alrededor de 8 de cada 10 personas que utilizan Internet han recibido algún tipo de ataque de phishing a través de sus correos electrónicos. Además, según el Informe global de phishing de 2019 de Avanan, 1 de cada 99 correos electrónicos es un ataque de phishing.

BitDam es consciente de la importancia de los correos electrónicos en la comunicación moderna. bitdam publicó un nuevo estudio sobre las debilidades de detección de amenazas de correo electrónico de los principales actores en seguridad de correo electrónico, y los hallazgos llaman la atención. El equipo de investigación descubrió cómo Office365 ATP de Microsoft y G Suite de Google supuestamente son críticamente débiles cuando se enfrentan a amenazas desconocidas. Además, su tiempo de detección (TTD) puede demorar hasta dos días desde su primer encuentro con ataques desconocidos.

Cómo los principales sistemas de seguridad previenen los ataques

Los sistemas de seguridad de correo electrónico abordan las amenazas cibernéticas al escanear enlaces y archivos adjuntos para determinar si son seguros o no.

Luego pueden bloquear automáticamente los enlaces y evitar la descarga o ejecución de archivos adjuntos. En la mayoría de los casos, para identificar amenazas, los sistemas de seguridad comparan los archivos escaneados o los enlaces con una base de datos de firmas de amenazas. Emplean servicios de reputación o un protocolo de búsqueda de amenazas que monitorea posibles ataques en función de los datos de amenazas de varias fuentes.

Sin embargo, los enlaces o archivos adjuntos que se consideran seguros en el análisis inicial no siempre lo son. Hay muchos casos en los que los sistemas de seguridad no pueden filtrar las amenazas porque aún no han actualizado sus bases de datos de amenazas. Debido a esto, existen lagunas en la detección. Puede haber hasta tres brechas de detección en un sistema de seguridad típico. Estas brechas representan vulnerabilidades u oportunidades para que penetren los ataques de correo electrónico.

Existen sistemas de seguridad que aprovechan la inteligencia artificial para que el aprendizaje y la detección de amenazas sean automáticos y más eficientes. Utilizan datos de ataques anteriores y las acciones correspondientes de la administración de la red o el propietario de la computadora para generar mejores juicios para los incidentes posteriores.

Altas tasas de fallas en el primer encuentro y TTD: insuficiencia de la seguridad actual del correo electrónico

A pesar de todos los avances en la seguridad del correo electrónico, aún existen fallas. Como se mencionó anteriormente, los principales sistemas de seguridad de correo electrónico Office365 ATP y G Suite pierden su efectividad de detección cuando se enfrentan a amenazas desconocidas. Según los resultados de las pruebas de BitDam, Office365 tiene una tasa promedio de fallas en el primer encuentro del 23 %, mientras que G Suite tiene un 35,5 %. También tienen TTD notablemente largos después del primer encuentro. TTD para Office365 y G Suite se registraron a las 48 horas y 26,4 horas, respectivamente.

Para aclarar, las amenazas desconocidas son amenazas que los sistemas de seguridad encuentran por primera vez, aquellas que aún no están en sus bases de datos de firmas. Sin embargo, la oscuridad es relativa. Las amenazas que no están identificadas para un sistema pueden no ser desconocidas para otros.

Es por eso que existe una diferencia significativa en las tasas de fallas de Office365 y G Suite. Independientemente, estas amenazas desconocidas parecen ser el talón de Aquiles de la seguridad del correo electrónico actual en general. Parecen sin importancia porque son como una debilidad temporal que se corrige con el tiempo, pero abren una ventana crítica para la penetración de ataques.

También vale la pena señalar que las amenazas desconocidas no son necesariamente malware o formas de ataques completamente nuevos. Según la investigación de BitDam, pueden ser meras variantes de amenazas existentes que se generan rápidamente con la ayuda de la inteligencia artificial. Esto significa que son extremadamente fáciles de producir y presentan un problema que crece exponencialmente para los sistemas de seguridad que tienen dificultades para detectar amenazas desconocidas.

En las pruebas de BitDam, se utilizaron nuevas amenazas, junto con sus versiones modificadas, para probar la eficacia de detección de los principales sistemas de seguridad. La mayoría de las amenazas modificadas se percibieron como no identificadas/desconocidas a pesar de que sus amenazas de «fuente» ya estaban registradas en la base de datos de firmas de amenazas.

Para que un sistema de seguridad de correo electrónico se considere confiable, no puede seguir teniendo esta falla de tener altas tasas de fallas en la detección del primer encuentro.

Los desafíos en la lucha contra la piratería de correo electrónico

Para que un ataque por correo electrónico tenga éxito, se necesitan ataques persistentes combinados con al menos uno de los siguientes elementos.

• Contraseñas débiles
• Usuarios de correo electrónico analfabetos en ciberseguridad que caen en ataques de ingeniería social
• La ausencia de un sistema de seguridad de correo electrónico confiable

Uno de los principales métodos utilizados para hackear correos electrónicos es adivinar contraseñas. Con conjeturas simples y educadas (recolectando detalles sobre la víctima), los piratas informáticos ingresan contraseñas persistentemente hasta que se topan con la que funciona. Muchos pueden pensar que esta táctica es demasiado cruda para tener sentido, pero hay muchos casos en los que las cuentas de correo electrónico se ven comprometidas fácilmente porque los propietarios de las cuentas usan contraseñas simples y predecibles.

La ingeniería social se trata de engañar a las víctimas para que hagan cosas que les hagan revelar sin darse cuenta información supuestamente secreta o regalar cosas que de otro modo no harían. Podría decirse que el phishing es la forma más común de ingeniería social: las víctimas desprevenidas ingresan su nombre de usuario y contraseña o brindan información en un sitio web que parece legítimo pero en realidad está robando información.

El modus operandi comienza cuando el atacante envía a la víctima un correo electrónico que requiere una acción urgente. Podría ser una notificación para que la víctima cambie su contraseña de banca en línea después de que se haya descubierto una «violación» o un mensaje de felicitación que venga con un enlace que lleve a la víctima a un formulario en línea que debe completar para que pueda reclamar su premio. .

La seguridad del correo electrónico también se puede violar a través de archivos adjuntos con malware. Hacer clic en archivos adjuntos de correo electrónico anómalos puede resultar en la instalación no intencional de spyware o keyloggers, que pueden obtener contraseñas y otros datos críticos de las computadoras infectadas. Algunos malware también pueden estar diseñados para simular formularios a través de ventanas emergentes o modales, engañando a las víctimas para que ingresen sus datos de inicio de sesión.

Los principales sistemas de seguridad en la actualidad no pueden proteger las cuentas con contraseñas débiles o predecibles. Tampoco pueden garantizar la protección contra la ingeniería social. Solo se espera que se centren en bloquear archivos adjuntos y enlaces infectados con malware. Desafortunadamente, incluso cuando se trata de este aspecto, tienen serias debilidades. Como se indicó anteriormente, tienen altas tasas de fallas en el primer encuentro y necesitan tiempo para aprender a bloquear amenazas desconocidas.

El aumento de seguridad recomendado

BitDam sugiere una mejora en la forma en que funcionan los principales sistemas de seguridad de correo electrónico: la introducción de una capa de protección independiente de amenazas. Las pruebas de BitDam muestran que un enfoque de detección basado en modelos impulsó significativamente las tasas de detección del primer encuentro. Incluso redujo el TTD a cero. El malware que Office365 y G Suite no pudieron detectar se identificó de manera efectiva mediante el método basado en modelos de BitDam.

Entonces, ¿cómo funciona este enfoque basado en modelos?

Esencialmente, quita el enfoque en la comparación de archivos escaneados con datos sobre amenazas existentes. En cambio, analiza cómo se comportan las aplicaciones cuando interactúan con ciertos archivos. Genera un modelo (de ahí la descripción «basada en modelos») de cómo se ve un flujo «limpio» de ejecución de aplicaciones.

Las aplicaciones se comportan de manera diferente cuando procesan archivos con códigos no deseados o malware. Si las aplicaciones no se comportan correctamente cuando se trata de un archivo, el único veredicto lógico es que el archivo es anómalo, malicioso o dañino. Como tal, tiene que ser bloqueado.

Esta estrategia basada en modelos no busca suplantar los métodos basados ​​en datos. Está destinado a servir como un suplemento. También puede tener falsos positivos, por lo que sería mejor usarlo junto con la comparación de datos de amenazas para asegurarse de que las amenazas percibidas bloqueadas son realmente dañinas.

Metodología de estudio de BitDam

BitDam comenzó el estudio en octubre de 2019, recopilando miles de muestras de archivos maliciosos «frescos» de varias fuentes. Se centró en Office365 ATP y G Suite, pero ProofPoint TAP se agregará a medida que avance el estudio continuo.

El proceso se puede resumir de la siguiente manera:

1. Colección – Los investigadores obtienen numerosas muestras de archivos maliciosos. La mayoría de los cuales son archivos de Office y PDF.
2. Calificación – Después de recolectar las muestras, los investigadores se cercioran de que efectivamente son maliciosas/dañinas. Solo se utilizan archivos realmente dañinos para las pruebas.
3. Modificación – Los archivos maliciosos verificados luego se modifican para que los sistemas de seguridad puedan verlos como nuevas amenazas. Los investigadores de BitDam emplearon dos métodos para esta modificación. Un método fue cambiar el hash del archivo con la adición de datos benignos. El otro método implicaba la modificación de la firma estática de una macro.
4. Enviando – Los archivos maliciosos recopilados recientemente y sus variantes (copias modificadas) se envían a buzones de correo que se considera que tienen una protección decente. Para los buzones de correo de G Suite Enterprise, las opciones avanzadas están activadas, incluido el sandbox en modo de preentrega.
5. Monitoreo y Medición – A continuación, se realiza un seguimiento de los buzones y se mide la eficacia de la detección de amenazas. Los archivos que superan la detección de amenazas se vuelven a enviar a los buzones de correo cada 30 minutos durante las primeras cuatro horas (después de enviar el archivo). Durante las próximas 20 horas, la frecuencia de reenvío se reduce a una vez cada seis horas. La frecuencia de reenvío se reduce aún más a una vez cada seis horas durante los próximos siete días.
6. Recogida y análisis de datos – Todos los detalles producidos por las pruebas se compilan y examinan.

La modificación de los archivos maliciosos recopilados es una parte esencial del proceso, ya que BitDam no tiene acceso al malware más reciente que aún no se haya ingresado en los registros de amenazas de Microsoft y Google. Tenga en cuenta que los archivos debían enviarse por correo electrónico (Outlook y Gmail). Los sistemas de seguridad de Microsoft y Google habrían bloqueado inmediatamente los archivos adjuntos maliciosos durante la redacción de los correos electrónicos de prueba.

Los investigadores idearon con éxito formas de modificar las amenazas para que Google y Microsoft las consideren completamente nuevas y desconocidas. Por lo tanto, la capacidad de los sistemas de seguridad para bloquear el archivo adjunto se redujo considerablemente.

Existía la opción de utilizar servicios de correo electrónico como SendGrid, que no realizan análisis de malware. Sin embargo, los investigadores descubrieron que las cuentas que usaban terminaron congeladas en menos de 24 horas.

En conclusión

Nuevamente, BitDam no afirma haber recopilado malware que aún no estaba en las bases de datos de firmas de amenazas de Microsoft y Google. Se tuvieron que superar algunos desafíos para que BitDam completara las pruebas y llegara a la audaz conclusión de que se necesita un cambio de paradigma.

El hecho de que los investigadores lograron agregar archivos adjuntos de malware a los correos electrónicos que enviaron para la prueba demuestra que las modificaciones mínimas son suficientes para que los sistemas de seguridad vean las amenazas derivadas como desconocidas. Su efectividad de detección se ve entonces interrumpida, por lo que sufre altas tasas de fallas en el primer encuentro.

Los ataques desconocidos plantean riesgos graves, principalmente debido a la naturaleza basada en datos de la mayoría de las soluciones de seguridad de correo electrónico. Existe la necesidad de aumentar los sistemas de seguridad con una estrategia basada en modelos, de modo que la detección no dependa únicamente de las actualizaciones de firmas de amenazas.

Además, es importante continuar educando a las personas sobre ciberseguridad. Los sistemas de seguridad de correo electrónico no brindan una protección general. En particular, son incapaces de detener la penetración de un ataque que es posible gracias al uso de contraseñas predecibles y la credulidad (caen fácilmente presa del phishing o la ingeniería social).