Cibercriminales lanzan ataques de suplantación de identidad contra más de 400 empresas industriales
Los correos electrónicos simularon ser cartas legítimas de compras y contabilidad, y afectaron a al menos 400 organizaciones industriales, la mayoría en Rusia. Estos ataques comenzaron en otoño de 2017 y se dirigieron contra cientos de PCs en empresas industriales, desde petroleras y gasísticas hasta metalúrgicas, energía, construcción y logística.
En la oleada detectada, los ciberdelincuentess atacaron también a empresas de otros sectores; aunque se centraron principalmente en empresas industriales.
Enviaron correos electrónicos que contenían archivos adjuntos maliciosos y trataron de atraer a víctimas inocentes para que entregaran datos confidenciales, que luego podrían ser utilizados para ganar dinero.
Según los datos de Kaspersky Lab, esta oleada de correos electrónicos atacó cerca de 800 PCs de empleados con la intención de robar dinero y datos confidenciales de las empresas, que luego pudieran utilizarse en nuevos ataques.
Los correos electrónicos se disfrazaron de mensajes legítimos sobre compras y contabilidad, incluían contenido que correspondía al perfil de las organizaciones atacadas y tenían en cuenta la identidad del empleado, que era el destinatario de la carta.
Es de destacar que los ciberatacantes incluso se dirigieron a las víctimas por su nombre, lo que nos sugiere que los ataques se prepararon a conciencia y que los delincuentes se tomaron el tiempo para confeccionar una carta individual para cada usuario.
Cuando el destinatario hizo clic en los archivos adjuntos maliciosos, el software legítimo modificado se instaló discretamente en el equipo, de forma que los ciberdelincuentes pudieron conectarse, examinar documentos y software relacionados con las operaciones de compras, finanzas y contabilidad.
Además, buscaron formas distintas de cometer fraudes financieros, como cambiar los requisitos en las facturas de pago para hacer que los fondos les fueran abonados en su beneficio.
Además, cuando los ciberdelincuentes necesitaban datos o servicios adicionales, como obtener derechos de administrador local o robar datos de autenticación de usuario y cuentas de Windows para propagarse dentro de la red de la empresa. Los ciberatacantes cargaron conjuntos adicionales de malware preparados individualmente para atacar a cada víctima.
Estos incluían spyware, herramientas adicionales de administración remota que extienden el control de los atacantes en los sistemas infectados y malware para explotar las vulnerabilidades en el sistema operativo, así como la herramienta Mimikatz, que permite a los usuarios obtener datos de las cuentas de Windows. “Los ciberdelincuentes demostraron un claro interés en dirigirse contra empresas industriales en Rusia, Según nuestra experiencia, es probable que se deba a que su nivel de conciencia sobre ciberseguridad no es tan alto como en otros mercados, como en los servicios financieros.
Esto convierte a las empresas industriales en un blanco muy lucrativo para los ciberdelincuentes, no solo en Rusia, sino en todo el mundo”, dijo Vyacheslav Kopeytsev, experto en seguridad de Kaspersky Lab. Los analistas de Kaspersky Lab aconsejan a los usuarios que sigan estas medidas fundamentales para estar protegidos contra ataques de spear phishing: - Usar soluciones de seguridad con funcionalidades dedicadas para detectar y bloquear intentos de phishing. Las empresas pueden proteger sus sistemas de correo electrónico en local gracias a aplicaciones específicas presentes en la suite Kaspersky Endpoint Security for Business.
Kaspersky Security para Microsoft Office 365 ayuda a proteger el servicio de correo en la nube Exchange Online dentro de la suite Microsoft Office 365. - Introducir iniciativas de sensibilización sobre seguridad, incluida formación gamificada con evaluaciones de habilidades y refuerzo mediante la repetición de ataques de phishing simulados.
Los clientes de Kaspersky Lab se beneficiarían así del uso de los servicios de formación de concienciación en seguridad de Kaspersky. Para obtener más información acerca de la amenaza de phishing financiero, puede leer el blog post publicada en ICS-CERT.kaspersky.com.