Anatomía de un atraco cibernético de 15 millones de dólares
Estafadores experimentados se llevaron $15 millones de una empresa estadounidense después de ejecutar cuidadosamente un compromiso de correo electrónico (Business Email Compromise – BEC). El hecho tardó aproximadamente dos meses en completarse.
El ciberdelincuente ejecutó su plan con precisión quirúrgica después de obtener acceso a conversaciones por correo electrónico sobre una transacción comercial. Se insertaron en el intercambio para desviar el pago y pudieron mantener el robo oculto el tiempo suficiente para obtener el dinero.
Los investigadores descubrieron eventos en una sola víctima, pero también encontraron pistas que indican que están apuntando a otras empresas. Se presume que varias empresas en los sectores de la construcción, el comercio minorista, las finanzas y el legal están en su lista de objetivos.
Fase 1 – hombre en el correo electrónico
Después de que el actor decidió un objetivo, pasaron aproximadamente dos semanas tratando de acceder a cuentas de correo electrónico. Una vez dentro, dedicaron otra semana a recopilar información del buzón de correo de la víctima e identificar una oportunidad.
Ariel Parnes, director de ingeniería de Mitiga, la empresa que investiga el incidente, dijo que sus investigadores no encontraron malware en los sistemas víctimas. Esto apunta a un compromiso de inicio de sesión del correo electrónico.
Sin embargo, el acceso al correo electrónico no era suficiente, nos dijo Parnes. Dado que el actor podría perder eso en cualquier momento, crearon reglas de reenvío de correo electrónico. Esto para obtener los mensajes de la bandeja de entrada de correo electrónico que estaba siendo monitoreada.
Los delincuentes también usaron el servicio de correo electrónico de Microsoft Office 365. Esto para hacerse pasar por las dos partes involucradas en la transacción. Por lo tanto, los ciberdelincuentes podrían continuar con el ataque sin problemas.
Mitiga dice que el actor de amenazas envió correos electrónicos usando una cuenta de Office 365 para reducir las sospechas y evadir la detección. También registraron dominios a través de un registrador de GoDaddy (Wild West Domains) que eran similares a los utilizados por empresas legítimas. Muchas de estas ubicadas en los Estados Unidos.
Estos detalles permitieron a Mitiga establecer un patrón y descubrir más de 150 de estos dominios maliciosos, revelando la mayor actividad del grupo de ciberdelincuentes.
Durante cuatro semanas, el atacante progresó cuidadosamente con su plan utilizando información recopilada de las bandejas de entrada comprometidas de los altos ejecutivos. Se hicieron cargo de la conversación utilizando los dominios falsos en el momento oportuno para proporcionar detalles alterados para la transferencia de dinero.
Fase 2: Asegurar el botín
Sin embargo, no fue el final. Los bancos pueden bloquear una transacción cuando el dinero va a la cuenta incorrecta y el error se descubre a tiempo. El actor de la amenaza conocía bien este detalle y se había preparado para esta fase.
Para ocultar el robo hasta que movieron el dinero a bancos extranjeros y lo perdieron para siempre, el atacante actuó astutamente. Usó reglas de filtrado de la bandeja de entrada para mover mensajes de direcciones de correo electrónico específicas a una carpeta oculta.
Fue una medida que mantuvo al propietario legítimo de la bandeja de entrada inconsciente de la comunicación sobre la transferencia de dinero. Duró alrededor de dos semanas, dice Mitiga, suficiente para que el actor hiciera desaparecer los $15 millones.
El papel de Mitiga en este incidente fue investigar lo que sucedió después de que la empresa víctima se diera cuenta del incidente. Es decir, cuando se dieron cuenta que habían perdido el dinero a manos de los ciberdelincuentes. Los investigadores están ayudando a los esfuerzos del FBI y del Servicio Secreto de Estados Unidos para rastrear al atacante.
Las organizaciones pueden fortalecer sus defensas contra este tipo de ataque siguiendo un conjunto simple de recomendaciones. Entre otras recomendaciones, se debe habilitar la autenticación de dos factores en Office 365 y evitar el reenvío de correo electrónico a direcciones externas.
Recomendaciones
Además, MItiga recomienda lo siguiente:
- Aplicar actualizaciones de contraseñas de Office 365
- Considera bloquear el reenvío automático de correo electrónico para que sea más difícil para los ciberdelincuentes robar tu información
- Buscar carpetas ocultas en las bandejas de entrada
- Bloquear protocolos de correo electrónico heredados, como POP, IMAP y SMTP1, que se pueden usar para eludir la autenticación de múltiples factores
- Asegúrate de que los cambios en el inicio de sesión y la configuración del buzón se registren y se mantengan durante 90 días
- Habilita alertas para actividades sospechosas, como inicios de sesión externos, y analiza los registros del servidor en busca de accesos anómalos al correo electrónico
- Considera suscribirte a un servicio de administración de dominios
- Aumenta el conocimiento y revisa los controles para las transacciones electrónicas (autenticación telefónica además del correo electrónico, así como verificar firmas y cuentas)