Ciberdelincuentes explotan VPS baratos para lanzar ataques de secuestro de SaaS
Los investigadores de Darktrace han descubierto una nueva ola de ataques en los que los ciberdelincuentes utilizan servidores privados virtuales (VPS) económicos para secuestrar cuentas de correo electrónico empresariales. Descubra cómo estas campañas sigilosas evaden la seguridad.
Un nuevo informe de seguridad de Darktrace ha revelado una preocupante tendencia: los ciberdelincuentes están abusando de servidores en la nube económicos y de fácil acceso para llevar a cabo sofisticados ataques a los sistemas de correo electrónico empresariales . La investigación, compartida con Hackread.com, revela un aumento sustancial de estos ataques desde marzo de 2025, y un proveedor, Hyonix, ha duplicado la actividad maliciosa.
La investigación de Dark Trace descubrió que los atacantes utilizan una táctica llamada secuestro de SaaS (Software como Servicio). En lugar de simplemente robar contraseñas, se apoderan de las cuentas de correo electrónico mientras los usuarios legítimos siguen conectados. Esto les permite eludir las herramientas de seguridad tradicionales y aparentar ser usuarios de confianza.
Una vez dentro de una cuenta de correo electrónico empresarial, los atacantes intentan permanecer ocultos. Crean reglas de correo electrónico sutiles con nombres vagos para redirigir en secreto los mensajes entrantes, lo que dificulta que el usuario detecte cualquier problema. Por ejemplo, pueden eliminar automáticamente los correos electrónicos de phishing de la carpeta de enviados para borrar su rastro.
Los atacantes pueden lograr esto mediante servidores privados virtuales (VPS), que son básicamente una pequeña porción virtual de un servidor más grande que cualquiera puede alquilar en línea a un precio muy bajo, como la opción de 5 dólares al mes de Hyonix. Estos servicios son rápidos de configurar y proporcionan a los atacantes una dirección IP limpia , lo que permite que su tráfico malicioso se integre con la actividad comercial normal y eluda los controles de seguridad.
La investigación de Darktrace descubrió que los atacantes también utilizaban otros proveedores como Mevspace y Hivelocity. Además, observaron inicios de sesión sospechosos desde ubicaciones remotas que ocurrían momentos después del inicio de sesión legítimo de un usuario, tras lo cual los atacantes también lograron eludir la autenticación multifactor ( MFA ), una barrera de seguridad clave. En un caso, se encontró una herramienta de acceso remoto llamada SplashtopStreamer.exe, lo que sugiere que los atacantes intentaban establecer una base más sólida para robar datos.
El informe destacó dos ejemplos específicos de estos ataques. En el primer caso, los atacantes crearon reglas ocultas que eliminaban automáticamente los correos electrónicos relacionados con facturas, probablemente para ocultar su rastro.
En otro caso, se crearon reglas similares para varios usuarios y los atacantes incluso intentaron cambiar la configuración de recuperación de cuentas, lo que demuestra un esfuerzo por mantener el acceso a largo plazo.
El informe concluye que las organizaciones deben abandonar los antiguos métodos de seguridad basados en reglas simples. En su lugar, necesitan sistemas capaces de aprender y detectar comportamientos inusuales, como que un usuario inicie sesión desde una ubicación nueva o desconocida.
Jason Soroko , investigador sénior de Sectigo, comentó sobre los hallazgos, afirmando que los atacantes ahora están "alquilando la confianza". Explicó que con estos proveedores de VPS económicos, los delincuentes pueden obtener una dirección de red aparentemente legítima, lo que hace que su actividad parezca confiable. "El buzón se convierte en el plano de control", añadió Soroko, señalando que los atacantes utilizan reglas sutiles para controlar la cuenta, como una especie de "política de sigilo".
HackRead
