Los investigadores de Kaspersky Lab han detectado una nueva ola de correos electrónicos de spear phishing diseñados para generar dinero a los ciberdelincuentes. Los correos electrónicos se disfrazan de mensajes legítimos de compras y contabilidad y han afectado al menos a 400 organizaciones industriales, la mayoría en Rusia. La serie de ataques comenzó en el otoño de 2017 y tuvo como objetivo a cientos de PCs de empresas en industrias que van desde el petróleo y el gas hasta la metalurgia, la energía, la construcción y la logística.
En esta ola, los delincuentes no solo atacaron a las empresas industriales junto con otras organizaciones, sino que se centraron predominantemente en ellas. Enviaron correos electrónicos que contenían archivos adjuntos maliciosos y trataron de atraer a víctimas inocentes para que entregaran datos confidenciales, que luego podrían usar para obtener dinero.
Según datos de Kaspersky Lab, esta ola de correos electrónicos tuvo como objetivo a 800 PCs de empleados, con la finalidad de robar dinero y datos confidenciales de las organizaciones, mismos que pueden ser utilizados en nuevos ataques. Los correos electrónicos se disfrazaron como mensajes legítimos de compras y contabilidad, con contenido que correspondía al perfil de las organizaciones atacadas y tomaban en cuenta la identidad del empleado, es decir, el destinatario de la carta. Cabe destacar que los atacantes incluso se dirigieron a las víctimas específicas por su nombre. Esto sugiere que los ataques fueron cuidadosamente preparados y que los delincuentes se tomaron el tiempo para desarrollar una carta individual para cada usuario.
Cuando el destinatario hacía clic en los archivos maliciosos adjuntos, discretamente se instalaba un software legítimo modificado en la computadora para que los delincuentes pudieran conectarse, examinar documentos y software relacionados con las operaciones de adquisiciones, financieras y contables. Además, los atacantes buscaban formas diferentes de cometer fraude financiero, como cambiar los requisitos en las facturas de pago para retirar dinero en su beneficio.
Adicionalmente, cuando los delincuentes necesitaban datos o capacidades adicionales, como obtener derechos de administrador local o robar datos de autenticación de usuario y cuentas de Windows con el fin de propagarse en la red de la empresa, cargaban conjuntos adicionales de malware preparados individualmente para atacar a cada víctima. Esto incluía spyware, herramientas adicionales de administración remota que concedían el control a los atacantes en los sistemas infectados y malware para explotar las vulnerabilidades en el sistema operativo, así como la herramienta Mimikatz, que permite a los usuarios obtener datos de las cuentas de Windows.
«Los atacantes demostraron un claro interés en perseguir a las empresas industriales en Rusia. Conforme a nuestra experiencia, es probable que esto se deba a que su nivel de preparación para la ciberseguridad no es tan alto en comparación con otros sectores, como es el caso de los servicios financieros. Eso convierte a las empresas industriales en un blanco lucrativo para los ciberdelincuentes, no solo en Rusia, sino en todo el mundo», dijo Vyacheslav Kopeytsev, experto en seguridad de Kaspersky Lab.
Los investigadores de Kaspersky Lab le aconsejan a los usuarios que sigan estas medidas clave para estar protegidos contra ataques de spear-phishing:
– Utilice soluciones de seguridad con funcionalidades dedicadas para detectar y bloquear intentos de phishing. Las empresas pueden proteger sus sistemas de correo electrónico locales con aplicaciones específicas dentro del paquete Kaspersky Endpoint Security for Business. Kaspersky Security para Microsoft Office 365 ayuda a proteger el servicio de correo basado en la nube Exchange Online dentro de la suite Microsoft Office 365.
– Promueva iniciativas de concientización de seguridad, incluidos los entrenamientos lúdicos con evaluaciones de habilidades y refuerzo, mediante la repetición de ataques de phishing simulados. Los clientes de Kaspersky Lab se beneficiarían del uso de los servicios de Kaspersky Security Awareness Training.
Para obtener más información acerca de la amenaza de phishing financiero, lea la publicación de blog disponible en ICS-CERT.kaspersky.com.