Cómo proteger su organización contra ataques de phishing de Microsoft Teams

En los últimos meses, hemos visto un aumento dramático en la cantidad de ataques que utilizan Microsoft Teams como vector de amenaza. Este blog explorará por qué Teams se está convirtiendo en un punto de entrada tan popular, cómo las ofertas de seguridad integradas y del mercado no logran abordar las amenazas sofisticadas de Teams y por qué la IA conductual es la solución para la detección temprana de ingeniería social basada en Teams y compromiso de cuentas.

 

El problema: los ataques de phishing a Microsoft Teams van en aumento.

Alrededor del 83 % de las empresas de Fortune 500 dependen de los productos y servicios de Microsoft Office 1 , y Microsoft Teams y Microsoft SharePoint en particular emergen como plataformas críticas para las operaciones comerciales del lugar de trabajo cotidiano. Los investigadores de todo el panorama de amenazas han comenzado a observar que actores maliciosos aprovechan cada vez más estos servicios legítimos como método de acceso inicial.

A medida que Teams se convierte en una característica más destacada del lugar de trabajo, muchos empleados confían en él para la comunicación interna y externa diaria, incluso superando el uso del correo electrónico en algunas organizaciones. Como afirma Microsoft 2 , «Teams cambia su relación con el correo electrónico. Cuando todo su grupo trabaja en Teams, significa que todos recibirán menos correos electrónicos. Y pasarán menos tiempo en su bandeja de entrada, porque usarán Teams para más de tus conversaciones.»

Sin embargo, Teams puede explotarse para enviar mensajes de phishing dirigidos a personas, ya sea interna o externamente, sin dejar de parecer legítimo y seguro. Los usuarios pueden recibir una solicitud de mensaje externo de una cuenta de Teams que afirma ser un servicio de soporte de TI o estar afiliada de otro modo a la organización. Una vez que un usuario ha aceptado, el actor de la amenaza puede lanzar una campaña de ingeniería social o entregar una carga útil maliciosa. Como herramienta principalmente interna, naturalmente hay menos capacitación y conciencia de seguridad en torno a Teams; debido a la naturaleza del canal, se supone que es una fuente confiable, lo que significa que la ingeniería social ya está un paso por delante.

Ejemplos de phishing de equipos de Microsoft

Microsoft ha identificado varios ataques de phishing importantes utilizando Teams durante el último año.

En julio de 2023, Microsoft anunció que el actor de amenazas conocido como Midnight Blizzard –identificado por Estados Unidos como un grupo patrocinado por el Estado ruso– había lanzado una serie de campañas de phishing a través de Teams con el objetivo de robar las credenciales de los usuarios. Estos ataques utilizaron cuentas de Microsoft 365 previamente comprometidas y configuraron nuevos nombres de dominio que se hacían pasar por organizaciones legítimas de soporte de TI. Luego, los actores de amenazas utilizaron tácticas de ingeniería social para engañar a los usuarios específicos para que compartieran sus credenciales a través de Teams, permitiéndoles acceder a datos confidenciales.

Al mismo tiempo, se observó que el actor de amenazas Storm-0324 enviaba señuelos de phishing a través de Teams que contenían enlaces a archivos maliciosos alojados en SharePoint. El grupo se centró en organizaciones que permiten a los usuarios de Teams interactuar y compartir archivos externamente. El objetivo de Storm-0324 es obtener acceso inicial para entregárselo a otros actores de amenazas para realizar ataques posteriores más peligrosos, como el ransomware.

 

El mercado: las soluciones de seguridad existentes de Microsoft Teams son insuficientes

La seguridad nativa de Teams de Microsoft se centra en las cargas útiles, es decir, enlaces y archivos adjuntos, como el principal componente malicioso de cualquier phishing. Estas cargas útiles son relativamente sencillas de detectar gracias a su experiencia en antivirus, sandboxing y IOC. Sin embargo, este enfoque no puede intervenir antes de la etapa en la que se entregan las cargas útiles, antes de que el usuario tenga la oportunidad de aceptar o rechazar una solicitud de mensaje externo. Al mismo tiempo, corre el riesgo de pasar por alto amenazas más sutiles que no incluyen archivos adjuntos o enlaces (como el phishing en etapa inicial, que es pura ingeniería social) o cargas útiles completamente nuevas.

Asimismo, la oferta del mercado para la seguridad de Teams es limitada. Las soluciones de seguridad disponibles en el mercado siempre se centran en la carga útil, en lugar de tener en cuenta el contenido y el contexto en el que se envía un enlace o un archivo adjunto.

 Respondiendo preguntas como:

  • ¿Tiene sentido que estos dos relatos se comuniquen entre sí?
  • ¿Existen indicadores lingüísticos de incentivo?

Además, no se correlacionan con el correo electrónico para rastrear amenazas en múltiples entornos de comunicación, lo que podría indicar una campaña más amplia. Efectivamente, otras soluciones del mercado no añaden valor adicional: protegen contra los mismos tipos de amenazas que Microsoft ya cubre de forma predeterminada.

El otro aspecto de la seguridad de Teams que las soluciones nativas y de mercado no logran abordar es la cuenta misma. Además de centrarse en las amenazas de Teams, es importante analizar los mensajes para comprender el modo normal de comunicación de un usuario y detectar cuándo la actividad de Teams de un usuario podría indicar una apropiación de cuenta.

La solución: cómo Darktrace protege Microsoft Teams contra amenazas sofisticadas

Con la mayor actualización de Darktrace/Email hasta la fecha, Darktrace ahora ofrece soporte para Microsoft Teams. Con eso, incorporamos la misma filosofía de IA que protege su correo electrónico y sus cuentas a su entorno de mensajería.

Nuestra IA de autoaprendizaje analiza el contenido y el contexto de cada comunicación, ya sea que se envíe por correo electrónico o por mensaje de Teams. Analiza el comportamiento real del usuario, incluidos los patrones de lenguaje, el historial de relaciones entre el remitente y el destinatario, el tono y las cargas útiles, para comprender si un mensaje representa una amenaza. Este enfoque permite a Darktrace detectar amenazas como ingeniería social y ataques sin carga utilizando capacidades forenses y de visibilidad que la seguridad de Microsoft no ofrece actualmente, así como los primeros síntomas de una cuenta comprometida.

A diferencia de las soluciones del mercado, Darktrace no ofrece un enfoque aislado para la seguridad de Teams. Los datos y las señales de Teams se comparten por correo electrónico para informar la detección y también con la plataforma de seguridad más amplia Darktrace ActiveAI. Al correlacionar la información del correo electrónico y Teams con la seguridad de la red y las aplicaciones, Darktrace puede identificar mejor la actividad sospechosa de Teams y viceversa.

 

Referencias:

[1] Estadísticas esenciales de Microsoft Office en 2024

[2] Blog de Microsoft, Microsoft Teams y correo electrónico, vivir en armonía , 2024

[3] https://darktrace.com/

[4] https://www.linkedin.com/feed/update/urn:li:ugcPost:7205940919240474624/

 

 

 

#Ciberseguridad #Phishing #MicrosoftTeams #SeguridadInformática #ProtecciónDeDatos #Darktrace #Ciberamenazas #Tecnología #MicrosoftOffice #ProtecciónEmpresarial #EmailSecurity #DarktraceAI #solit-lat