Gli esperti dell’azienda di sicurezza Skyhigh Networks hanno scoperto un attacco su larga scala denominato KnockKnock che sfrutta con una nuova tecnica per compromettere gli account Office 365 di imprese. La campagna di hacking su larga scala è iniziata lo scorso maggio e sembrerebbe essere ancora in corso. Secondo gli esperti, gli attaccanti stanno utilizzano una piccola botnet composta da 83 indirizzi IP appartenenti a 63 reti differenti, la maggior parte delle quali registrate in Cina. Gli attaccanti hanno utilizzato anche sistemi compromessi in altri 15 paesi, tra cui Brasile, Russia, Stati Uniti e Malesia. I ricercatori hanno notato che nessuno degli 83 indirizzi IP riconosciuti era già incluso negli elenchi di indirizzi IP ritenuti malevoli e bannati dalle principali organizzazioni di sicurezza, ulteriore elemento che rende questo attacco difficile da individuare. Gli attacchi KnockKnock hanno preso di mira obiettivi specifici con l’intento di compromettere gli account Office 365 di aziende di tutto il mondo con una metodica in grado di eludere i controlli predisposti dalle aziende.

Reti aziendali nel mirino

Una volta hackerato un account, gli attaccanti ne esfiltrano i dati e creano e creano una nuova regola per la posta in arrivo al fine di dirottare i messaggi in arrivo. Siamo quindi in una prima fase di un attacco ben più pericoloso contro le reti aziendali, una volta compromesso un account, gli attaccanti lanciano attacchi di phishing all’interno dell’azienda con l’intento di acquisire informazioni che consentano loro di effettuate “movimenti laterali”.

Specifici malware

Gli esperti ritengono che gli attaccanti, una volta compromessi alcuni account Office 365, possono utilizzare specifici malware in funzione dell’organizzazione presa di mira. Gli hacker dietro l’attacco KnockKnock colpiscono specifici account, come quelli di sistema, perché hanno di solito elevati privilegi di accesso e sono scarsamente protetti (e.g. assenza di autenticazione multi fattore, Single Sign-On (SSO)).

Il sistema di IA che ha rilevato le anomalie

Gli esperti di Skyhigh sono riusciti ad individuare l’attacco KnockKnock utilizzando un sistema machine learning da loro progettato per la rilevazione di anomalie. Il motore ha dapprima rilevato un aumento del numero di accessi anomali, gli esperti hanno quindi individuato l’attività fraudolenta correlando i dati relativi a milioni di eventi associati agli accessi degli account Office 365 dei loro clienti. I ricercatori di Skyhigh hanno confermato che l’attacco KnockKnock ha colpito oltre il 50 per cento dei loro clienti, è probabile quindi che una grande parte di grandi organizzazioni che utilizzano Office 365 sia stata attaccata con questa tecnica.