Los últimos ataques de phishing a compañías industriales también buscan robar planes operativos
- Seguridad
En octubre de 2016, los analistas de Kaspersky Lab notaron un aumento significativo en el número de intentos de infección de malware dirigido a clientes industriales, los cuales, según confirma ahora la compañía, van más allá de la búsqueda de un beneficio económico.
Los ciberdelincuentes responsables de la reciente oleada de ataques de phishing y de interceptación de pagos a empresas industriales no sólo buscan un beneficio económico, sino que también están robando planes y proyectos operativos de las víctimas, según un informe del Equipo de Respuesta a Ciberemergencias de Sistemas de Control Industrial de Kaspersky Lab.
La ciberseguridad está cambiando, al igual que la tecnología, las empresas, el mercado, el uso de los datos y, sobre todo, las intenciones de los cibercriminales.Si quieres conocer cómo está evolucionando este mercado, puedes acceder content marketing en este enlace, o bien, descargarte la revista digital haciendo clik en este enlace.
Los ataques de Business Email Compromise (BEC), a menudo vinculados a Nigeria, buscan secuestrar y controlar cuentas empresariales reales que los atacantes pueden utilizar para interceptar o redireccionar las transacciones financieras. De hecho, en octubre de 2016, los analistas de Kaspersky Lab notaron un aumento significativo en el número de intentos de infectar a clientes industriales, con la identificación de más de 500 empresas atacadas en 50 países, principalmente empresas industriales y grandes corporaciones de transporte y logística.
La secuencia de ataque comienza con un correo electrónico de phishing cuidadosamente elaborado que parece provenir de proveedores, clientes, organizaciones comerciales y servicios de distribución. Los ciberdelincuentes usan malware perteneciente a, al menos, ocho diferentes familias de espionaje y troyanos backdoor, todas disponibles a bajo precio en el mercado negro.
En los equipos infectados, los ciberatacantes toman capturas de pantalla de emails o redireccionan mensajes a su propio buzón para poder buscar transacciones interesantes o lucrativas. Éstas se interceptan a través de un clásico ataque man-in-the-middle, reemplazando los detalles de la cuenta en la factura de un vendedor legítimo con los de los atacantes.
Hasta aquí lo que ya se sabía. Sin embargo, ahora los analistas de Kaspersky Lab han observado que, entre la información robada, había capturas de pantalla de operaciones y proyectos, así como dibujos técnicos y diagramas de red. Además, estas imágenes no se habían conseguido de los equipos de los gerentes de proyectos o de los encargados de la adquisición; sino de equipos de operadores, ingenieros, diseñadores y arquitectos.
“No hay necesidad de que los ciberdelincuentes recojan este tipo de datos para perpetrar sus estafas de phishing. Entonces, ¿qué hacen con esta información?”, se pregunta Maria Garnaeva, analista de Seguridad, Análisis de Amenazas de Infraestructuras Críticas de la compañía. Hasta ahora, continúa, “no hemos visto ninguna información robada por los ciberdelincuentes nigerianos en el mercado negro. Sin embargo, está claro que, para las empresas atacadas, además de la pérdida financiera directa, un ataque de phishing nigeriano plantea otras amenazas, posiblemente más graves”, afirma. No en vano, el siguiente paso podría ser obtener acceso a los equipos que forman parte del sistema de control industrial, donde cualquier interceptación o ajuste de la configuración podría tener un impacto devastador.
Por último, cuando los analistas extrajeron las direcciones de comando y control (C&C) de los archivos maliciosos, resultó que en algunos casos los mismos servidores se utilizaban para malware de diferentes familias. Esto sugiere que hay un solo grupo de ciberdelincuencia detrás de todos los ataques, haciendo uso de diferentes programas maliciosos o de varios grupos que cooperan y comparten recursos. Asimismo, los analistas también encontraron que la mayoría de los dominios registrados procedían de residentes de Nigeria.