Lo bueno, lo feo y lo malo de la ciberseguridad – Semana 28

Lo bueno

Esta semana se ha detenido en seco una importante estafa de tipo Business Email Compromise (BEC) dirigida a cuentas de Office 365. El año pasado, los ataques BEC o vulneraciones de cuentas de correo electrónico fueron la causa de la mayor parte de las pérdidas por delitos cibernéticos. En este caso los estafadores utilizaban la pandemia de COVID-19 como cebo para dirigir tráfico de phishing a través de seis dominios de Internet y utilizar aplicaciones web maliciosas para obtener las credenciales de las cuentas de Office 365 de las víctimas.

El uso de aplicaciones web es nuevo. En lugar de utilizar una página de inicio de sesión clonada falsa, los delincuentes pedían a las víctimas que dieran su consentimiento para que la aplicación web accediera a sus cuentas. Una vez tomado el control de la cuenta, los agresores la utilizaban como parte de una estafa para inducir a los directivos a autorizar transferencias bancarias a su favor.

La estafa, que al parecer se ha puesto en marcha en más de 62 países, implicaba el uso de los siguientes dominios maliciosos, ahora en poder de Microsoft:

officeinventorys.com
officesuitesoft.com
officehnoc.com
officesuited.com
officemtr.com
mailitdaemon.com

Otra buena noticia de esta semana es que la comunidad de seguridad de macOS desmontó un ransomware/ladrón de información oculto en software pirateado y distribuido a través torrents públicos. Denominado «EvilQuest» o «ThiefQuest», posiblemente los autores esperaban copiar el modelo similar observado en el mundo Windows, que consigue robar datos silenciosamente en segundo plano mientras pide ruidosamente en primer plano un rescate por los archivos cifrados.

SentinelLabs descodificó el cifrado simétrico que utilizaba el malware EvilQuest/ThiefQuest y difundió una herramienta de descifrado pública. También es gratificante comprobar que la dirección bitcoin creada por los autores de la amenaza para recaudar fondos no ha registrado ni una sola transacción. No obstante, el malware sigue preocupando a las víctimas, ya que es posible que los componentes separados de robo de datos y de puerta trasera se hayan llevado datos confidenciales y que sigan activos si el dispositivo no se ha limpiado correctamente.

Lo malo

Un informe publicado esta semana concluye que en los últimos 12 meses se han duplicado prácticamente las ciberamenazas dirigidas a sistemas de tecnología operativa a través de dispositivos USB extraíbles. Casi la mitad de todos los centros industriales encuestados en el informe afirman haber detectado al menos una amenaza contra sus redes de control de procesos. El informe destaca la prevalencia de los dispositivos USB y de su uso como vector de ataque, ya que un 20 % de los ataques notificados procedían de dispositivos de almacenamiento extraíbles. Entre sus objetivos, a los agresores les interesaba sobre todo abrir las puertas traseras, establecer acceso remoto persistente y seguir distribuyendo cargas útiles maliciosas.

El documento asegura que el auge de las amenazas por USB no se debe a la transferencia accidental de malware de un dispositivo a otro, sino más bien al resultado de «ataques deliberados y coordinados», como Disttrack, Duqu, Ekans, Industroyer y USBCulprit, entre otros, que emplean dispositivos USB para atacar sistemas de TO. El informe recuerda oportunamente a todos los equipos de seguridad corporativa la importancia de controlar los soportes extraíbles, incluidos los dispositivos USB basados en software.

Lo feo

En el último recuento, había aproximadamente 7800 millones de personas viviendo en nuestro pequeño planeta pero, según una nueva auditoría de la red oscura, en los foros de piratas informáticos circulan cerca del doble de credenciales de cuentas robadas, casi 5000 millones de ellas únicas. Esta enorme acumulación de datos expuestos es el resultado de más de 100 000 filtraciones de datos, un número aterrador de fallos de seguridad que da que pensar.

Estas credenciales son de cuentas que abarcan desde redes sociales, sitios de streaming, VPN y sitios de juegos hasta bancos, servicios financieros e incluso cuentas de administradores de dominio. Por ejemplo, los delincuentes que quieren comprar acceso a una cuenta bancaria electrónica pueden pagar unos 500 dólares o menos en la red oscura; una cuenta de administrador de dominio puede subastarse al mejor postor por sumas que rondan desde unos pocos miles de dólares hasta más de 100 000 dólares, dependiendo de la cuenta.

El robo de credenciales online y la usurpación de cuentas son un sector floreciente, ya que los ciberdelincuentes organizan campañas masivas de phishing con redes de bots, distribuyen malware de robo de credenciales y utilizan técnicas como el volcado de credenciales y la fuerza bruta para robar contraseñas. Como destaca el informe, ahora los delincuentes recopilan y venden acceso a datos de huella dactilar, como cookies, direcciones IP y zonas horarias, para que las credenciales robadas puedan emplearse sin activar alertas de inicio de sesión sospechoso en el servicio. Algunos mercados de la red oscura —Genesis Market, UnderWorld Market y Tenebris— se señalan como sitios que alquilan acceso limitado a cuentas comprometidas para que otros ciberdelincuentes las utilicen con fines específicos, como blanquear dinero, recibir correos electrónicos o comprar productos.

Según los investigadores, una persona normal utiliza casi 200 servicios online que requieren contraseña. Siendo tantos los usuarios que desconocen la seguridad básica de las contraseñas y tantas las organizaciones que no logran impedir las fugas de datos, es posible que en pocos años la cifra actual de 15 000 millones parezca poca cosa.


Like this article? Follow us on LinkedIn, Twitter, YouTube or Facebook to see the content we post.

Read more about Cyber Security