Los atacantes responsables de una reciente oleada de ataques de phishing y de interceptación de pagos contra empresas industriales también están robando los proyectos y planes operativos de sus víctimas, así como los diagramas de las redes eléctricas y de información, según un informe emitido por el Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial (ICS CERT, por sus siglas en inglés) de Kaspersky Lab. Dicha información no es necesaria para la estratagema de obtener dinero que utilizan los atacantes y plantea una serie de inquietantes preguntas sobre las intenciones futuras de los ciberdelincuentes.
Los ataques de Business Email Compromise (BEC, por sus siglas en inglés), a menudo vinculados con Nigeria, tratan de secuestrar cuentas empresariales legítimas que los atacantes pueden controlar para interceptar o redirigir transacciones financieras. En octubre de 2016, los investigadores de Kaspersky Lab notaron un aumento significativo en el número de intentos de infección de malware dirigidos a clientes industriales. Identificaron más de 500 compañías atacadas en 50 países, principalmente empresas industriales de metalurgia, energía eléctrica, construcción, y grandes corporaciones de transporte y logística. Los ataques continúan.
La secuencia del ataque
La secuencia del ataque comienza con un correo electrónico de phishing cuidadosamente elaborado que parece venir de proveedores, clientes, organizaciones comerciales y servicios de entrega. Los atacantes utilizan malware perteneciente a por lo menos ocho diferentes familias de espías troyanos y de puerta trasera (backdoor), todos disponibles a bajo precio en el mercado negro y diseñados principalmente para robar datos confidenciales e instalar herramientas de administración a distancia en sistemas infectados.
En las computadoras corporativas infectadas, los atacantes toman capturas de pantalla de la correspondencia o redirigen los mensajes a su propio buzón para poder buscar transacciones interesantes o lucrativas. El pago es interceptado entonces por medio de un ataque clásico de intermediario (man-in-the-middle), reemplazando los detalles de la cuenta en la factura de un vendedor legítimo por los de los propios atacantes. Puede ser difícil para una víctima detectar la sustitución antes de que sea demasiado tarde y el dinero haya desaparecido.
La amenaza desconocida
Al analizar los servidores de mando y control utilizados en los ataques más recientes de 2017, los investigadores observaron que entre los datos robados estaban las capturas de pantalla de operaciones y planes de proyectos, así como dibujos técnicos y diagramas de redes. Además, estas imágenes no habían sido tomadas de las computadoras de los gerentes de proyectos o de los encargados de adquisiciones, objetivos habituales de los atacantes, sino de las que pertenecían a los operadores, ingenieros, diseñadores y arquitectos.
«Los atacantes no tienen necesidad de recopilar este tipo de datos para perpetrar sus estafas de phishing. Entonces, ¿qué hacen con esta información? ¿Es esa recopilación accidental, o intencional, quizás encargada por un tercero? Hasta ahora, no hemos visto en el mercado negro ninguna información robada por los ciberdelincuentes nigerianos. Sin embargo, está claro que, para las empresas atacadas, además de la pérdida financiera directa, un ataque de phishing nigeriano plantea otras amenazas, posiblemente más graves», dice Maria Garnaeva, investigadora sénior de seguridad, Análisis de amenazas a la infraestructura crítica, en Kaspersky Lab.
Perfil del atacante
Cuando los investigadores extrajeron las direcciones de mando y control (C&C) de los archivos maliciosos, resultó que en algunos casos los mismos servidores se utilizaban para malware de diferentes familias. Esto sugiere que detrás de todos los ataques hay un solo grupo de ciberdelincuentes que hace uso de diferentes programas maliciosos, o varios grupos que cooperan y comparten recursos.
Los investigadores también encontraron que la mayoría de los dominios fueron dados a residentes de Nigeria.
Cómo mitigar la amenaza
Kaspersky Lab recomienda a las empresas implementar las siguientes prácticas básicas de seguridad:
- Educar a los empleados en la seguridad esencial del correo electrónico: no hacer clic en enlaces y anexos sospechosos y comprobar cuidadosamente el origen de un correo electrónico, así como mantenerles informados de las herramientas y trucos más recientes utilizados por los ciberdelincuentes.
- Siempre revisar las solicitudes de cambiar los detalles de cuentas bancarias, métodos de pago, etc. durante las transacciones.
- Instalar una solución de seguridad en todas las estaciones de trabajo y servidores donde sea posible, e implementar todas las actualizaciones sin demora.
- En caso de que un sistema quede afectado, cambiar las contraseñas de todas las cuentas utilizadas en ese sistema.
- Si su organización tiene un sistema de control industrial, instale un sistema de seguridad especializado que revise y analice toda la actividad de la red y más.
Para obtener más información sobre esta amenaza y cómo protegerse contra ella, lea el informe en https://securelist.com/nigerian-phishing-industrial-companies-under-attack/78565/
Para más información sobre las amenazas que enfrentan los sistemas de control industrial, visite el ICS CERT.