Anatomía de un ataque MFA Bypass

¿Qué es un ataque MFA?

Un ataque de evasión de autenticación multifactor (MFA ) ocurre cuando un atacante elude con éxito los controles MFA de una organización para obtener acceso no autorizado. Aunque los métodos de autenticación son una parte importante de la prevención, no siempre impiden que los agresores accedan a las cuentas. Los atacantes pueden eludir los requisitos de MFA para obtener acceso a VPN, realizar reconocimiento de red, robar nombres de usuario y contraseñas y, en última instancia, filtrar datos confidenciales. 

Técnicas habituales para eludir la AMF

Los tipos comunes de técnicas de evasión MFA incluyen:

• AtaquesPhishing : Los atacantes suelen utilizar sofisticados phishing sofisticadas para engañar a los usuarios para que proporcionen sus credenciales MFA.

• Ataques por fatiga de MFA: El atacante bombardea a la víctima con repetidas solicitudes de MFA, inundándola de solicitudes de validación hasta que el usuario aprueba una, ya sea por costumbre o por cansancio.

• Intercambio de SIM: Los atacantes secuestran el número de teléfono de una víctima convenciendo al operador para que lo transfiera a una tarjeta SIM de un dispositivo diferente. Esta técnica es cada vez más común debido al uso generalizado de la autenticación basada en SMS. 

• Secuestro de sesión: El atacante se apodera de una sesión activa de una aplicación empresarial para eludir por completo los métodos de MFA. Una vez que controla la sesión, puede añadir nuevos dispositivos MFA, restablecer contraseñas y utilizar la cuenta secuestrada para avanzar por la red corporativa. 

• Explotación de fallos de MFA: Los atacantes encuentran una mala configuración u otras vulnerabilidades, normalmente en sistemas OAuth y de inicio de sesión único (SSO) integrados, que les permiten saltarse el segundo factor de autenticación. 

Detección de atacantes que eluden su MFA

Las soluciones avanzadas de AMF, como las claves de seguridad y la verificación biométrica, son un componente fundamental de la seguridad empresarial. Pero no se detenga ahí. Es igualmente crucial vigilar su entorno en busca de actividades sospechosas para poder detectar un ataque de elusión de la AMF en cuanto se produzca. 

Vectra AI utiliza más de 150 modelos de detección basados en IA para revelar cuándo un atacante elude la MFA y otros controles preventivos. Con más del 90 % de cobertura MITRE ATT&CK y 11 referencias en el marco MITRE D3FEND -más que cualquier otro proveedor-, Vectra AI detecta las técnicas habituales que utilizan los ciberdelincuentes para eludir la AMF, entre ellas:

• Registro sospechoso MFA fallido
• MFA Desactivado
• Sospecha de acceso comprometido
• Anomalía en la operación de privilegios
• M365 Regla de transporte de intercambio sospechoso

Por ejemplo, en un ataque simulado que comenzó con un acceso VPN comprado, el atacante:

• Reconocimiento de la red para moverse lateralmente por RDP
• Utilizó credenciales robadas para infiltrarse en SharePoint y en el código fuente
• Creado una nueva cuenta de administrador para el acceso redundante y trató de crear una regla de transporte para la exfiltración futuro
  

Pero con Vectra AI, los defensores saben qué entidades están afectadas, cada superficie ocupada y qué acciones de respuesta tomar, y pueden bloquear rápidamente las cuentas en cuestión.

Descubra cómo Vectra AI puso al descubierto un ataque activo para eludir la MFA.

¿Qué ocurre cuando un famoso grupo de ciberdelincuentes se salta la MFA, roba credenciales y empieza a moverse lateralmente? Vea a continuación cómo el grupo de ransomware Lapsus$ utiliza la evasión de MFA para entrar en las redes corporativas y aprenda por qué las detecciones basadas en IA son esenciales para encontrar ataques similares.