El crypto-ransomware ya ha desplazado a los botnets como una de las mayores amenazas para las empresas – especialmente en esquemas relacionados con el correo electrónico. Recientemente, el FBI lanzó una advertencia a las empresas y organizaciones sobre SAMSAM, una variante de ransomware conocida por encriptar archivos en las máquinas infectadas, pero también a los archivos que residen en la red.
Anteriormente, el spear phishing, una forma dirigida de phishing diseñada para engañar a una persona específica para que divulgue credenciales de acceso o para que dé clic en enlaces maliciosos, se ha utilizado por mucho tiempo en las campañas de espionaje. Pero las cosas han cambiado. De acuerdo con el FBI, los criminales cibernéticos utilizaron esquemas de spear phishing en 17,642 víctimas en 2013, provocando daños que ascenderían a $2,300 millones de dólares.
Se ha reportado recientemente que un grupo de creadores de amenazas denominado TA530 ha estado atacando a ejecutivos y a otros empleados de alto nivel en un intento por comprometer sus máquinas con malware de distintos tipos. El grupo es conocido por utilizar CryptoWall, una variante de ransmoware que encripta datos valiosos y exige una suma considerable por desencriptar los archivos. Otras amenazas del arsenal de malware incluyen al troyano bancario Ursnif ISFB, y a Ursnif/RecoLoad – un troyano de reconocimiento de puntos de venta (PoS) que se utiliza para atacar a las industrias minoristas y de hospitalidad.
Estos ataques de spear phishing utilizan correos electrónicos fraudulentos, donde el atacante primero envía un correo electrónico pretendiendo que es del director de finanzas (CFO) para un gerente o para alguien del departamento de finanzas. Si el empleado responde, los atacantes prepararán una solicitud maliciosa para transferir fondos después de reunir información de la víctima. El atacante entonces instruirá a la víctima transferir los fondos a una cuenta bancaria usando el lenguaje que retomaron de la cadena de correos electrónicos. Existen también otros casos de defraudadores que se hacen pasar por compañías proveedoras y que emiten facturas falsas para el CFO. Tan pronto como se transfieren los fondos, se trasladan a otras cuentas para dificultar rastrear las transacciones.
El esquema BEC también depende de un malware que roba información y que es enviado a las víctimas como un archivo adjunto de correo electrónico, muy similar a una campaña actual que utilice un sencillo malware keylogger para provocar un daño importante a sus objetivos. En marzo de 2015, Olympic Vision se convirtió en el cuarto malware utilizado en una campaña de BEC y se descubrió que ha atacado a 18 compañías en Estados Unidos, Medio Oriente y Asia. En los casos reportados, Olympic Vision simula legitimidad y urgencia y se envía a un empleado a través de un archivo adjunto. Una vez que se abre, se instala un backdoor e infecta al sistema de la víctima y roba información crítica.
Compañías como Seagate, Snapchat y Sprouts Farmer’s Market figuraron entre las víctimas de este tipo de fraude. Para finales del mismo mes, Pivotal Software, la compañía de software y servicios de San Francisco, fue afectada por una brecha a través de un esquema de phishing que provocó la fuga de un número desconocido de información fiscal de los empleados.
El FBI también recomendó que las organizaciones utilizan la autenticación de múltiples factores en sus procesos financieros y revisen las comunicaciones que involucren transacciones financieras de sus empresas. Se recomienda a las víctimas informar a sus bancos y al FBI tan pronto como sea posible.
Leave a Reply