Llegamos a ustedes gracias a:



Alertas de Seguridad

Estafadores de correos phishing nigerianos

Apuntan ataques a compañías industriales

[16/06/2017] Los atacantes responsables de una reciente oleada de ataques de phishing y de interceptación de pagos contra empresas industriales, también están robando los proyectos y planes operativos de sus víctimas, así como los diagramas de las redes eléctricas y de información, según un informe emitido por el Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial (ICS CERT, por sus siglas en inglés) de Kaspersky Lab. Dicha información no es necesaria para la estratagema de obtener dinero que utilizan los atacantes y plantea una serie de inquietantes preguntas sobre las intenciones futuras de los ciberdelincuentes.

Los ataques de Business Email Compromise (BEC, por sus siglas en inglés), a menudo vinculados con Nigeria, tratan de secuestrar cuentas empresariales legítimas que los atacantes pueden controlar para interceptar o redirigir transacciones financieras. En octubre del 2016, los investigadores de Kaspersky Lab notaron un aumento significativo en el número de intentos de infección de malware dirigidos a clientes industriales. "Identificamos más de 500 compañías atacadas en 50 países, principalmente empresas industriales de metalurgia, energía eléctrica, construcción, y grandes corporaciones de transporte y logística. Los ataques continúan, señaló Maria Garnaeva, investigadora senior de seguridad, Análisis de amenazas a la infraestructura crítica en Kaspersky Lab.

La secuencia del ataque

La ejecutiva explicó que la secuencia del ataque comienza con un correo electrónico de phishing cuidadosamente elaborado que parece venir de proveedores, clientes, organizaciones comerciales y servicios de entrega. Los atacantes utilizan malware perteneciente a por lo menos ocho diferentes familias de espías troyanos y de puerta trasera (backdoor), todos disponibles a bajo precio en el mercado negro y diseñados principalmente para robar datos confidenciales e instalar herramientas de administración a distancia en sistemas infectados.

"En las computadoras corporativas infectadas, los atacantes toman capturas de pantalla de la correspondencia o redirigen los mensajes a su propio buzón para poder buscar transacciones interesantes o lucrativas. El pago es interceptado entonces por medio de un ataque clásico de intermediario (man-in-the-middle), reemplazando los detalles de la cuenta en la factura de un vendedor legítimo por los de los propios atacantes. Puede ser difícil para una víctima detectar la sustitución antes de que sea demasiado tarde y el dinero haya desaparecido, anotó Garnaeva.

La amenaza desconocida

Añadió que, al analizar los servidores de mando y control utilizados en los ataques más recientes de 2017, los investigadores observaron que entre los datos robados estaban las capturas de pantalla de operaciones y planes de proyectos, así como dibujos técnicos y diagramas de redes. Además, estas imágenes no habían sido tomadas de las computadoras de los gerentes de proyectos o de los encargados de adquisiciones, objetivos habituales de los atacantes, sino de las que pertenecían a los operadores, ingenieros, diseñadores y arquitectos.

"Los atacantes no tienen necesidad de recopilar este tipo de datos para perpetrar sus estafas de phishing. Entonces, ¿qué hacen con esta información? ¿Es esa recopilación accidental, o intencional, quizás encargada por un tercero? Hasta ahora, no hemos visto en el mercado negro ninguna información robada por los ciberdelincuentes nigerianos. Sin embargo, está claro que, para las empresas atacadas, además de la pérdida financiera directa, un ataque de phishing nigeriano plantea otras amenazas, posiblemente más graves", indicó Garnaeva.

"El siguiente paso podría ser que los atacantes tengan acceso a las computadoras que forman parte de un sistema de control industrial, donde cualquier interceptación o ajuste de la configuración podría tener un impacto devastador, añadió la ejecutiva.

Perfil del atacante

Cuando los investigadores extrajeron las direcciones de mando y control (C&C) de los archivos maliciosos, resultó que en algunos casos los mismos servidores se utilizaban para malware de diferentes familias. "Esto sugiere que detrás de todos los ataques hay un solo grupo de ciberdelincuentes que hace uso de diferentes programas maliciosos, o varios grupos que cooperan y comparten recursos, indicó Garnaeva.

Los investigadores también encontraron que la mayoría de los dominios fueron dados a residentes de Nigeria.