[22/11/2022] La Unidad 42 de Palo Alto ha investigado varios incidentes relacionados con la campaña de extorsión por devolución de llamada del grupo Luna Moth, dirigida a empresas de múltiples sectores, incluidos el jurídico y el minorista. El análisis descubrió que los actores de la amenaza que están detrás de la campaña aprovechan la extorsión sin encriptación basada en malware, han invertido significativamente en centros de llamadas e infraestructura única para atacar los objetivos, y están evolucionando sus tácticas con el tiempo. La Unidad 42 declaró que la campaña ha costado a las víctimas cientos de miles de dólares y está ampliando su alcance.
Luna Moth elimina la parte de malware del ataque de phishing de devolución de llamada
El phishing de devolución de llamada -o entrega de ataques orientados al teléfono (TOAD)- es un ataque de ingeniería social que requiere que un actor de la amenaza interactúe con el objetivo para lograr sus objetivos. Requiere más recursos, pero es menos complejo que los ataques basados en scripts, y suele tener un porcentaje de éxito mucho mayor, según escribió la Unidad 42 en un blog. Los actores vinculados al grupo de ransomware Conti tuvieron éxito con este tipo de ataque con la campaña BazarCall, que se centró en engañar a las víctimas para que descargaran el malware BazarLoader. Este elemento de malware es sinónimo de los tradicionales ataques de phishing de devolución de llamada. Curiosamente, en esta campaña, Luna Moth prescinde de la parte de malware del ataque, y en su lugar utiliza herramientas de gestión de sistemas legítimas y de confianza para interactuar directamente con la computadora de la víctima y exfiltrar manualmente los datos para la extorsión. "Como estas herramientas no son maliciosas, no es probable que sean marcadas por los productos antivirus tradicionales", escribieron los investigadores.
El señuelo inicial de la factura de la tarjeta de crédito falsa
El señuelo inicial de esta campaña es un correo electrónico de phishing dirigido a una dirección de correo electrónico corporativa con una factura PDF adjunta que indica que se ha cargado en la tarjeta de crédito del destinatario un servicio de suscripción, según la Unidad 42. Suele ser por un importe inferior a mil dólares. Los correos electrónicos están personalizados para el destinatario y se envían a través de servicios de correo electrónico legítimos, lo que significa que es menos probable que sean interceptados por las plataformas de protección del correo electrónico, añadió Unit 42. "La factura adjunta incluye una identificación y un número de teléfono únicos, a menudo escritos con caracteres extra o con formato para evitar que las plataformas de prevención de pérdida de datos (DLP) los reconozcan. Cuando el destinatario llama al número, es dirigido a un centro de llamadas controlado por un actor de la amenaza y conectado con un agente en vivo".
Aparentando ayudar a la víctima a cancelar la suscripción, el actor guía a la persona que llama para que descargue y ejecute una herramienta de soporte remoto que permita al atacante gestionar su ordenador. "Este paso suele generar otro correo electrónico del proveedor de la herramienta a la víctima con un enlace para iniciar la sesión de soporte", escribió la Unidad 42.
A continuación, el atacante descarga e instala una herramienta de administración remota (Syncro) que le permite lograr la persistencia antes de intentar identificar información valiosa y archivos compartidos conectados, que exfiltra a un servidor que controla utilizando herramientas de transferencia de archivos como Rclone y WinSCP. Después de robar los datos, el atacante envía un correo electrónico de extorsión exigiendo a las víctimas el pago de una cuota, o la información será liberada. Estas demandas se vuelven más agresivas si la víctima no cumple, señalaron los investigadores. "En los casos que la Unidad 42 investigó, el atacante afirmó haber exfiltrado datos en cantidades que van desde unos pocos gigabytes hasta más de un terabyte".
Los monederos de Bitcoin recogen los pagos de extorsión
Se crean monederos de Bitcoin únicos para los pagos de extorsión de cada víctima, y los monederos se vacían inmediatamente después de la financiación. Las demandas oscilaban entre 2 y 78BTC en función de los ingresos de las organizaciones, escribió la Unidad 42, y los atacantes se apresuraban a ofrecer descuentos del 25% por un pago rápido. "Pagar al atacante no garantizaba que cumpliera sus promesas. A veces dejaban de responder después de confirmar que habían recibido el pago y no cumplían con los compromisos negociados de proporcionar pruebas de eliminación", advirtió Unit 42.
Las tácticas de la campaña de Luna Moth evolucionan para mejorar su eficacia
El análisis de la campaña de Luna Moth realizado por la Unidad 42 mostró una clara evolución de las tácticas que sugiere que el actor de la amenaza sigue mejorando la eficacia de la campaña. Por ejemplo, la redacción del correo electrónico inicial ha cambiado con el tiempo, probablemente para frustrar las plataformas de protección del correo electrónico. Además, las primeras iteraciones de la campaña reciclaban los números de teléfono, pero los ataques posteriores utilizaban un único número de teléfono por víctima o bien presentaban a las víctimas un gran conjunto de números de teléfono disponibles en la factura, según la Unidad 42. "El atacante registraba todos los números que utilizaba a través de un proveedor de voz sobre IP (VoIP)".
Los primeros incidentes también utilizaban un logotipo de una de las empresas suplantadas en la parte superior de la factura, que se sustituyó en casos posteriores por un simple encabezado que daba la bienvenida al objetivo a la empresa suplantada. "Los casos analizados al principio de la campaña se dirigían a personas de pequeñas y medianas empresas del sector jurídico. En cambio, los casos posteriores a la campaña indican un cambio en la victimología para incluir a individuos en objetivos más grandes en el sector minorista", según la Unidad 42.
La concienciación es la clave para mitigar las amenazas de phishing callback
Dado que los actores de la amenaza detrás de esta campaña se han esforzado por minimizar el potencial de detección, la formación en ciberseguridad de los empleados es la primera línea de defensa para mitigar las amenazas, escribió Unit 42. "La gente debe ser siempre cautelosa con los mensajes que invocan el miedo o la sensación de urgencia". Deben recibir formación para no responder directamente a las facturas sospechosas y ponerse en contacto directamente con el solicitante a través de los canales disponibles en el sitio web oficial del proveedor, afirmó. También hay que animar a los usuarios a que consulten los canales de asistencia internos antes de descargar o instalar software en sus ordenadores corporativos. La segunda línea de defensa es una sólida pila tecnológica de seguridad diseñada para detectar anomalías de comportamiento en el entorno, añadió la Unidad 42.
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú