В ходе шестимесячного наблюдения за крупнейшими арендаторами облачных сервисов специалисты компании Proofpoint обнаружили масштабные кибератаки с использованием устаревших протоколов. С их помощью, а также с помощью утекших массивов учетных данных злоумышленники повышали скорость и эффективность брутфорса.
Согласно , за полгода 72% арендаторов подверглись как минимум одной кибератаке, у 40% есть хотя бы одна скомпрометированная учетная запись, более 2% активных учетных записей пользователей подвергались кибератакам, а 15 из каждых 10 тыс. активных учетных записей пользователей были успешно взломаны.
Самым популярным устаревшим протоколом, которым пользуются злоумышленники, является IMAP, позволяющий обходить механизм двухфакторной аутентификации. Благодаря ему учетные записи не блокируются после превышения лимита на количество попыток введения пароля, а брутфорс-атаки выглядят просто как неудачные попытки авторизации.
По данным Proofpoint, порядка 60% арендаторов, использующих Microsoft Office 365 и G Suite, подверглись атакам с использованием IMAP, и 25% от этих атак увенчались успехом. Их пик пришелся на период с сентября 2018-го по февраль 2019 года. Как правило, злоумышленников интересовали учетные записи высокопоставленных лиц, например, генеральных директоров компаний и их помощников.
В качестве платформы для атак киберпреступники используют тысячи взломанных сетевых устройств по всему миру, в частности маршрутизаторы и серверы. Чаще всего источником атак с использованием IMAP становился Китай, сообщают исследователи (53% от всех успешных атак). Тем не менее, исследователи подчеркивают, что источник кибератаки необязательно свидетельствует о принадлежности атакующих к этой стране.