En el entorno empresarial actual, donde los GIF inocentes y los documentos compartidos pueden ser aprovechadas con fines maliciosos, proteger la colaboración basada en la nube contra amenazas como el malware debería ser una prioridad.
A medida que nuestras vidas se vuelcan cada vez más en entornos en línea y comportamientos digitales, los ciberdelincuentes aprovechan nuevos vectores para expandirse a través del phishing, el robo de datos y la propagación de malware. Incidentes recientes muestran que mezclar las mentes profesionales y personales de los colaboradores (un factor humano siempre presente) puede crear nuevas debilidades en la ciberseguridad de una empresa.
Imagine a un empleado navegando por su plataforma de redes sociales favorita en su tiempo personal; es posible que encuentren una imagen o un emoji interesante con un enlace incrustado que luego comparten; a nadie le importaría tal distracción. Ahora, imagine a ese mismo empleado revisando sus chats e hilos profesionales, y algo entre sus intereses personales y profesionales le interesa o llama su atención. Entonces reacciona compartiendo un artículo, una imagen interesante o un emoji y su enlace incrustado. Esta vez, comparte con sus compañeros en una plataforma basada en la nube como Microsoft Teams. . . solo por diversión o incluso como inspiración profesional.
Esto es algo bastante común en una oficina, ¿verdad? Bueno, los actores maliciosos pueden abusar incluso de estas actividades cotidianas. En pocas palabras, los comportamientos comunes al navegar y disfrutar de las plataformas de redes sociales pueden aumentar los riesgos para las plataformas comerciales, que ahora se han vuelto omnipresentes tanto para las pequeñas y medianas empresas (PYMES) como para las grandes empresas.
Afortunadamente, la tecnología de ciberseguridad multicapa de ESET tiene una respuesta para este tipo de incidentes con ESET Cloud Office Security (ECOS), que ahora se está expandiendo más allá de las aplicaciones de Microsoft 365 para incluir Google Workspace.
Imagen 1. Panel ECOS con una descripción general de las aplicaciones protegidas.
Compartir informes, chistes y malware
Comencemos con imágenes, GIF y emojis armados. La técnica de ocultar un archivo, mensaje, imagen o vídeo dentro de otro archivo, mensaje, imagen o vídeo se llama esteganografía digital y no es nada nuevo en ciberseguridad.
El primer caso documentado de su uso en un ciberataque se remonta a 2011, cuando se descubrió el malware Duqu. Este malware recopila datos sobre el dispositivo infectado y los transmite al servidor de comando y control (C&C) oculto en un archivo JPEG que parece una imagen inocente. Desde entonces, los investigadores de ESET han analizado numerosos ataques similares.
En 2022, BleepingComputer informó sobre una nueva técnica de ataque llamada GIFShell que permite a los actores de amenazas abusar de Microsoft Teams para realizar ataques de phishing y ejecutar comandos para robar datos utilizando GIF.
Utilizando numerosas vulnerabilidades de Teams, GIFShell permite a un atacante crear un shell inverso. Esta técnica engaña a los usuarios para que instalen malware que conecta el dispositivo de la víctima al servidor de comando y control del atacante. Una vez establecida la conexión, el servidor de comando y control envía comandos maliciosos a través de GIF armados en Teams. Estos comandos pueden, por ejemplo, escanear el dispositivo en busca de datos confidenciales y luego filtrar el resultado, nuevamente, a través de GIF recuperados por la propia infraestructura de Microsoft.
Las grandes plataformas basadas en la nube, como Microsoft 365 con su aplicación Teams, experimentaron un rápido crecimiento durante la pandemia y, en el primer trimestre de 2023, tenían aproximadamente 280 millones de usuarios. Con tal crecimiento y nuevos comportamientos en línea, el alcance del abuso en las grandes plataformas no ha hecho más que crecer.
De hecho, los investigadores han prestado cada vez más atención a estos vectores de amenazas. En junio de 2023, el Red Team del proveedor de servicios de seguridad Jumpsec, con sede en el Reino Unido, descubrió una forma sencilla de distribuir malware utilizando Microsoft Teams a través de una cuenta fuera de la organización objetivo. Aunque Microsoft Teams tiene protección del lado del cliente que impide la entrega de archivos desde fuentes externas, los miembros de Red Team la evitaron cambiando el ID del destinatario interno y externo en la solicitud POST de un mensaje.
De esa manera, los investigadores pudieron engañar al sistema haciéndole creer que un usuario externo era, de hecho, una cuenta interna. Específicamente, entregaron con éxito una carga útil de comando y control en la bandeja de entrada de una organización objetivo. Si este ataque hubiera ocurrido en un entorno de la vida real, los actores maliciosos podrían haber tomado el control de los dispositivos de una empresa.
Usuarios seguros mediante la protección multicapa
Para hacer frente a las amenazas provenientes de aplicaciones basadas en la nube cada vez más populares, ESET creó su solución Cloud Office Security (ECOS). Es una poderosa combinación de filtrado de spam, escaneo antimalware, antiphishing y capacidades avanzadas de defensa contra amenazas, capaces de mitigar incluso tipos de amenazas nunca antes vistas.
Con este producto escalable y multiinquilino, las empresas pueden proteger todo su conjunto de Office 365, incluidos Exchange Online, MS Teams, OneDrive y SharePoint Online. Por ejemplo, una de las cosas que hace ECOS es escanear todos los archivos transmitidos a través de MS Teams y los cargados o descargados en SharePoint Online, escaneándolos independientemente de quién sea el autor del contenido.
La efectividad de ECOS en números:
- En los primeros diez meses de 2023, ECOS detectó y bloqueó más de 1 millón de amenazas de correo electrónico, más de 500.000 correos electrónicos de phishing y más de 30 millones de correos electrónicos no deseados.
- El componente de análisis de la nube de ESET LiveGuard Advanced realizó miles de detecciones nunca antes vistas.
- ECOS detectó y detuvo decenas de miles de amenazas en herramientas de colaboración y almacenamiento en la nube como OneDrive, Teams y SharePoint.
En su última oferta, ESET va aún más allá al integrar ECOS con Google Workspace para proteger a los usuarios de los tipos de amenazas antes mencionados. Esto significa que ESET ahora protege a los principales proveedores de correo electrónico en la nube.
Agregando más protección
Las numerosas funciones descritas aquí son fundamentales para la seguridad, en gran parte porque se escalan fácilmente y proporcionan mejoras concretas para las empresas. Sin embargo, ESET ha tratado de hacer aún más por las PYMES. En octubre de 2022, las soluciones de seguridad para endpoints de ESET se integraron con la tecnología Intel® Threat Detección (Intel® TDT), que se puso en marcha para determinadas laptops con tecnología vPro de 9.ª generación (y superior), con funcionalidades integradas que brindan una detección mejorada de ransomware basada en hardware.
Este año se han visto mejoras adicionales en la integración con el mayor rendimiento de los procesadores Intel® Core™ de 13.ª generación recientemente lanzados, que permiten aún más detecciones de ransomware únicas compartidas entre ESET Endpoint Security y sus capas, y la unidad de monitoreo de rendimiento (PMU) de Intel que se encuentra debajo. Las aplicaciones, el sistema operativo y las capas de virtualización recopilan telemetría de la CPU cuando las amenazas intentan ejecutarse.
Esta solución es especialmente ventajosa para las PYMES porque amplía aún más la naturaleza integral de nuestra solución multicapa sin la necesidad de ninguna gestión directa.
Prepararse para los ataques no tiene por qué ser complicado
Las técnicas que permiten violar la seguridad de una empresa a través de sus empleados y sus comportamientos (en la aplicación) demuestran que los ciberdelincuentes utilizan todas las posibilidades para eludir las ciberdefensas estándar.
A través del panel fácil de usar de ECOS, su Consola de administración en la nube, las organizaciones no solo pueden administrar su seguridad sino también detectar, evaluar y responder rápidamente a incidentes cibernéticos, lo que la convierte en una solución perfecta para empresas de cualquier tamaño.