“FIC2018”

Detectado por los patrones de comportamiento de modelos de protección de Skyhigh Networks, una nueva botnet llamada “KnockKnock”, ha atacado cuentas de correo electrónico de Office Exchange 365 de 16 países. El ataque, lejos de dirigirse a usuarios stándar, este ataque apunta a más de la mitad de las grandes empresas que utilizan O365. Además, los atacantes detrás de KnockKnock se han dirigido a cuentas de correo electrónico automatizadas que no están relacionadas con la identidad humana, ya que a menudo carecen de políticas de seguridad avanzadas.

Entre las estadísticas de este ataque:

  • Los hackers utilizaron 63 redes y 83 direcciones IP para llevar a cabo sus ataques.
  • Alrededor del 90% de los intentos de conexión vinieron de China. Aunque también se vieron intentos venidos de Rusia, Brasil, Estados Unidos, Argentina y otros 11 países.
  • Los objetivos eran principalmente los proveedores de Internet relacionados con objetos conectados y proveedores de infraestructura, así como los departamentos encargados de supervisar la infraestructura y los dispositivos IOT dentro de las grandes empresas en diversas industrias como la fabricación , los servicios financieros, los servicios de salud, los productos de consumo y el sector público.
  • Casi todas las cuentas han sido confirmadas como cuentas de sistema “no humanas” (dirección de correo electrónico automatizada para fines de marketing, ventas o administrativos). Dado que estas cuentas no están relacionadas con el ser humano y se basan en un uso automatizado, es menos probable que estén protegidas contra las políticas de seguridad, como la autenticación de múltiples factores (MFA) y el restablecimiento periódico de la contraseña.

¿Cómo funciona el ataque?

Al acceder a una cuenta O365 corporativa, KnockKnock crea una nueva regla de bandeja de entrada, exfiltra todos los datos de la bandeja de entrada, activa un ataque de phishing e intenta propagar la infección en la empresa.

La campaña de KnockKnock comenzó en mayo y sigue en marcha, con el pico de actividad que ocurre entre junio y agosto. Se centró en objetivos específicos en lugar de objetivos altos y un promedio de 5 direcciones de correo electrónico por organización.

About Author

Desiree Rodriguez

Responsable Globb Security España y Francia @Drodriguezleal

Deja un comentario