Los actores maliciosos tienen un historial de intentar comprometer las cuentas de Office 365 de los usuarios, refirió Claudia Rincón Pérez, CEO de Factoría IT. Al hacerlo, pueden entrar en una red y utilizar su acceso para robar información confidencial. Pero no es necesario que se detengan allí. También pueden destacar otras entidades con las que el objetivo hace negocios para los ciberataques de la cadena de suministro.
Ciberataques relacionados con la oficina
En el verano de 2019, los phishers utilizaron alertas falsas para engañar a los administradores haciéndoles pensar que sus licencias de Office 365 habían expirado. Esos mensajes indicaban a los administradores que hicieran clic en un vínculo para que pudieran iniciar sesión en el Centro de administración de Office 365 y revisar los detalles del pago. En cambio, esa página de inicio de sesión robó sus credenciales de cuenta.
Otros ciberataques en 2019 utilizaron técnicas de suplantación de identidad para hacer que el remitente pareciera un compañero de trabajo. Los actores de amenazas engañaron a las personas para que permitieran que una aplicación falsa de Microsoft Office 365 tuviera acceso a su bandeja de entrada, contactos y otros datos de la cuenta.
Cerca de fines de febrero de 2020, otros ciberataques advirtieron a los usuarios que actualicen sus aplicaciones de Office 365 o se arriesguen a que se eliminen sus cuentas. Los mensajes falsos indicaban a las víctimas que ingresaran su información en una página de inicio de sesión y que hicieran clic en el botón "actualizar ahora". En realidad, esa página era un formulario de Google elaborado que exfiltraba los datos de una víctima a los atacantes.
En mayo de 2020, una campaña de phishing utilizó correos electrónicos de lo que parecía ser la Corte Suprema de EE. UU. Los ciberataques utilizaron un lenguaje amenazante para engañar a los usuarios para que hicieran clic en el botón "ver citación" . Desde allí, los envió a un dominio diseñado para robar las credenciales de Office 365.
Dónde entran los ciberataques de la cadena de suministro
Los ataques a la cadena de suministro que comienzan en Office 365 pueden adoptar muchas formas diferentes. Por ejemplo, los spear phishers pueden usar una cuenta de Office 365 comprometida para rastrear los correos electrónicos en curso de un empleado objetivo. Luego, pueden usar lo que hayan aprendido para perseguir a los proveedores con ataques de fraude de compromiso de correo electrónico empresarial .
Otros tipos pueden ser incluso de mayor alcance. A fines de 2020, por ejemplo, los actores de amenazas comprometieron los métodos de actualización de productos de un proveedor de administración de redes de TI y utilizaron indebidamente su acceso para infectar a los clientes con malware. El atacante comprometió los correos electrónicos de Office 365 de la víctima, que " pueden haber proporcionado acceso a otros datos contenidos en las herramientas de productividad de la oficina de la empresa".
Varios meses después, el nuevo director ejecutivo de esa empresa reveló que los ciberataques comprometieron una de sus cuentas de Office 365 en diciembre de 2019. "Eso los llevó a comprometer otras cuentas de correo electrónico y, como resultado, nuestro entorno más amplio [Office] 365 se vio comprometido". le dijeron a The Wall Street Journal .
La Agencia de Seguridad de Infraestructura y Ciberseguridad advirtió sobre los mismos atacantes que usaban aplicaciones comprometidas en los entornos de Office 365 de las víctimas en enero de 2021. Esa amenaza estaba presente independientemente del vector de amenaza que usaran para obtener acceso primero.