[17/02/2023] Abnormal Security ha identificado dos grupos que utilizan la suplantación de identidad de ejecutivos para realizar ataques de suplantación de identidad contra empresas de todo el mundo.
El primer grupo, Midnight Hedgehog, se dedica al fraude en los pagos, mientras que el segundo, Mandarin Capybara, ejecuta ataques de desvío de nóminas. Ambos grupos han lanzado campañas BEC en al menos 13 idiomas diferentes, entre ellos alemán, danés, español, estonio, francés, húngaro, holandés, italiano, noruego, polaco, portugués y sueco, señalan los investigadores.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Aunque atacar objetivos en varias regiones y utilizar varios idiomas no es nuevo, en el pasado estos ataques eran perpetrados principalmente por organizaciones sofisticadas con mayores presupuestos y recursos más avanzados, escribió en su investigación Crane Hassold, director de Inteligencia de Amenazas de Abnormal Security.
A medida que la tecnología se hace más accesible y asequible, ha disminuido la barrera de entrada, lo que facilita a los actores de amenazas llevar a cabo ataques BEC. Los estafadores que están detrás de los ataques utilizan los mismos servicios comerciales en línea de los que dependen los equipos de ventas y marketing para identificar clientes potenciales y personalizar las comunicaciones. También utilizan herramientas de traducción automática, como Google Translate, para traducir instantáneamente sus correos electrónicos maliciosos al idioma que necesiten.
Fraude de pagos con Midnight Hedgehog
Midnight Hedgehog utiliza la suplantación de ejecutivos, normalmente haciéndose pasar por el director general de una empresa, para engañar a los destinatarios para que realicen pagos por servicios falsos.
Los actores de la amenaza investigan exhaustivamente las responsabilidades de su objetivo y su relación con el CEO, y crean cuentas de correo electrónico falsas que se parecen a las reales. Por lo general, el grupo ataca a directores financieros o ejecutivos responsables de iniciar las transacciones financieras de la empresa, afirmó Abnormal Security.
Los ataques de este grupo se han observado desde enero del 2021, y se han enviado desde cuentas alojadas en diversos proveedores gratuitos de correo web, como Gmail, Yandex, Earthlink y Web.de, así como desde dominios creados por el grupo registrados en NameCheap o GoDaddy.
Los investigadores señalaron que es probable que los integrantes del grupo se encuentren en países como Inglaterra, Canadá, Estados Unidos y Nigeria. Midnight Hedgehog utiliza dos versiones de correos electrónicos iniciales en sus campañas, que están escritos en 11 idiomas, entre ellos alemán, danés, español, estonio, francés, húngaro, holandés, italiano, noruego, polaco y sueco.
En la primera versión del correo electrónico, el actor se hace pasar por un director general que solicita urgentemente al objetivo que complete un pago a una empresa de Inglaterra. En la segunda versión, el suplantador pide al destinatario que le comunique el saldo actual de la cuenta bancaria de la empresa y le solicita que realice sin demora un pago por un importe determinado. Una vez que el destinatario responde al correo electrónico inicial del grupo, el atacante proporciona los datos de una cuenta bancaria a la que debe enviarse el pago solicitado.
Los pagos por estos servicios falsos han oscilado entre 16 mil y 42 mil euros (aproximadamente entre 17 mil y 45 mil dólares), según el investigador. La mayoría de las cuentas mula vinculadas a Midnight Hedgehog se encuentran en el Reino Unido, lo que apoya la evidencia de que el grupo tiene una presencia física allí. "También hemos visto que el grupo utiliza cuentas mula ubicadas en bancos de Portugal, Alemania, Francia e Italia", escribió Hassold.
El desvío de nóminas de Mandarin Capybara
Mandarin Capybara se dirige a empleados de recursos humanos en ataques de desvío de nóminas, pidiéndoles que cambien los datos de depósito directo del ejecutivo a otra cuenta bajo el control del grupo. El primer ataque del grupo se remonta a febrero del 2021. El grupo utiliza cuentas de Gmail para llevar a cabo sus ataques, actualizando el nombre que se muestra en cada correo electrónico para suplantar el nombre del ejecutivo suplantado.
Mandarin Capybara ha atacado a empresas de Norteamérica, Australia y Europa. "Hemos observado que el grupo se dirige a empresas norteamericanas y australianas en inglés, a organizaciones canadienses en francés y a empresas europeas en seis idiomas, entre ellos holandés, francés, alemán, italiano, portugués y español", señaló Abnormal Security.
En el correo electrónico inicial, el atacante pregunta si puede actualizar la cuenta de nómina del empleado. "Hemos observado múltiples casos en los que el grupo ha lanzado una campaña BEC en un idioma, y luego ha iniciado una segunda campaña desde la misma cuenta de correo electrónico en un segundo idioma", señaló el investigador.
En Estados Unidos, los bancos más utilizados por los actores del desvío de nóminas son Green Dot, GoBank, Sutton Bank y MetaBank, todos ellos vinculados a tarjetas de prepago o servicios de pago por móvil. Mandarin Capybara ha creado cuentas mulas en instituciones europeas de tecnología financiera, como Revoilut, Saurus, Monese, Bunq y SisalPay, para recibir fondos procedentes de sus ataques de desvío de nóminas.
Las estafas BEC siguen siendo una amenaza creciente
Los ataques BEC representan la amenaza más costosa a la que se enfrentan actualmente las organizaciones a nivel internacional. Desde el 2016, los ataques BEC se han clasificado constantemente en la parte superior de la lista de ciberdelitos más costosos del FBI.
Los ataques BEC representaron más de un tercio de todas las pérdidas financieras por ciberataques en 2021, totalizando casi 2.400 millones de dólares en daños para el año. Entre julio y diciembre de 2022, se produjo un aumento del 81% en los ataques BEC.
Basado en el artículo de Apurva Venkat (CSO) y editado por CIO Perú