Este nuevo y sofisticado grupo de phishing ha estado operando encubierto
Un grupo de phishing recientemente descubierto se dirige a grandes empresas de todo el mundo. Se cree que es el primer gran grupo de estafas que opera en Rusia. Esto indica un posible cambio en el panorama de las amenazas cibernéticas.
Las estafas de compromiso de correo electrónico corporativos (Business email compromiso – BEC) pueden ser muy lucrativas para los ciberdelincuentes. Las organizaciones pierden cientos de millones de dólares al mes después de ser engañadas para enviar dinero a cuentas propiedad de delincuentes.
Cosmic Lynx
Descubierta y detallada por investigadores de ciberseguridad en Agari, la campaña ha sido llamada Cosmic Lynx. Dicha campaña se ha dirigido a individuos en 46 países de seis continentes; combina una investigación en profundidad sobre las organizaciones objetivo y sus ejecutivos. La información es usada con dos cadenas de correos falsos enviados a la víctima que toca temas actuales, incluida la pandemia de coronavirus.
Cosmic Lynx parece ser el trabajo de un grupo que previamente se ha adherido a los ataques de troyanos.
Los investigadores dicen que la infraestructura detrás de la operación de correo electrónico tiene enlaces a las campañas Trickbot y Emotet. El cambio indica que los retornos potencialmente lucrativos de las campañas de phishing contra las empresas están llevando a los grupos de delincuentes cibernéticos a cambiar sus tácticas.
“Una organización rusa de ciberdelincuencia que se muda al espacio BEC es significativa. Esto porque muestra que los atacantes se están dando cuenta de que el retorno de la inversión para los ataques BEC es significativamente mayor. Son más lucrativos los ataques basados en correo electrónico más sofisticados técnicamente”, según Crane Hassold, director senior de investigación de amenazas en Agari.
No solo eso, sino que el equipo ruso está utilizando su experiencia para crear ataques mucho más sofisticados. Ataques que son más difíciles de detectar para las posibles víctimas.
“A diferencia de los grupos BEC tradicionales, Cosmic Lynx ha demostrado la capacidad de desarrollar ataques mucho más complejos. Son ataques más creativos que los distinguen de otros ataques BEC más genéricos que vemos todos los días”, agregó Hassold.
Objetivos
Las personas objetivo de la campaña en su mayoría tienen los títulos de trabajo como vicepresidente, gerente general o director general. El ataque comienza con un correo electrónico falsificado, pero uno que parece legítimo; parece provenir del CEO de la compañía objetivo.
En casi todos los casos, los correos electrónicos iniciales detallan una supuesta adquisición de una empresa asiática. Según la persona que recibe el correo electrónico es urgente y secreta, por lo que no debe discutirse con nadie más.
Los investigadores señalan que, a diferencia de otros esquemas de BEC, los mensajes están bien escritos. Estos se completan con negocios y términos financieros, todos utilizados en el contexto adecuado.
Después del correo electrónico inicial, el “CEO” luego envía un CC a un abogado para ayudar a completar la transacción financiera. Los correos electrónicos de los bufetes de abogados, basados casi en su totalidad en prácticas reales en el Reino Unido, también son operados por Cosmic Lynx. Incluso intentan imitar patrones de comunicación y lenguaje real utilizado por la firma imitada en la esfera pública. Lo que demuestra una vez más cómo el grupo ruso ha llevado BEC al siguiente nivel.
“Es muy raro que un grupo BEC use un esquema de doble suplantación. Esto demuestra la cantidad de esfuerzo adicional que Cosmic Lynx está dispuesto a poner en sus ataques para hacerlos más realistas”, dijo Hassold.
Después de que el ‘abogado’ está involucrado, el ataque finalmente intenta obligar a la víctima a transferir cientos de miles, a veces millones, de dólares. Este dinero es supuestamente necesario para la adquisición. Las transacciones se dirigen a cuentas de mulas en Hong Kong y luego pasan a manos de los delincuentes cibernéticos.
Ataque muy sofisticado
Tal es la naturaleza de los esquemas BEC que la víctima ni siquiera sospecha que ha sido víctima de una estafa.
Los investigadores creen que el grupo ha estado activo en estas campañas durante al menos un año. No es posible saber cuántas organizaciones han sido víctimas de los ataques. Tampoco sabemos cuánto dinero han ganado los delincuentes, pero la campaña aún está activa y demuestra que está siendo lucrativa.
Los correos electrónicos están bien estructurados y tienen un diseño legítimo. Esto para parecer que provienen de personas conocidas por la víctima. Por lo tanto es difícil de detectarlos, pero no es imposible.
“Para detectar estos ataques inmaculados de ingeniería social, las compañías tienen que pensar en nuevas formas. No pueden simplemente bloquear correos electrónicos maliciosos”, dijo Hassold.
Si alguien cree que podría estar siendo blanco de un ataque de phishing BEC que dice ser de alguien que conoce puede tomar acciones. Podría enviar un correo electrónico nuevo a la persona, o mejor, pedir hablar con ellos por teléfono. Esto para confirmar si la solicitud es legítima o no para estar seguro en lugar de un lo siento que no resuelve nada.