Seguridad
Ciberseguridad
Troyano
Amenazas
malware
phishing

Las compañías industriales, objeto del ataque del phishing nigeriano

Los ciberdelincuentes responsables de la reciente oleada de ataques de phishing y de interceptación de pagos a empresas industriales también están robando planes y proyectos operativos de las víctimas.

phishing nigeriano

Los clientes industriales se convirtieron en 2016 en protagonistas de intención de infección de malware. Por ejemplo, sólo en octubre del pasado año, se identificaron más de 500 empresas atacadas en más de 50 países. Y lo peor es que los ataques siguen activos.

¿Qué tipo de malware es el protagonista de estas incidencias? Se trata de una clase perteneciente a, al menos, 8 familias diferentes de espionaje y troyanos backdoor. Todas están disponibles a bajo precio en el mercado negro y han sido diseñadas principalmente para robar datos confidenciales e instalar herramientas de administración remota en sistemas infectados.

¿Por qué se le llama phishing nigeriano? Porque se trata de ataques de Business Email Compromise (BEC), a menudo vinculados a Nigeria, que buscan secuestrar y controlar cuentas empresariales reales que los atacantes pueden utilizar para interceptar o redireccionar las transacciones financieras. La información sustraída no es necesaria para el esquema económico de los ciberatacantes y plantea una serie de inquietantes preguntas sobre sus intenciones de futuras.

La secuencia de ataque

La secuencia de ataque comienza con un correo electrónico de phishing cuidadosamente elaborado que parece provenir de proveedores, clientes, organizaciones comerciales y servicios de distribución. En los equipos infectados, los ciberatacantes toman capturas de pantalla de emails o redireccionan mensajes a su propio buzón para poder buscar transacciones interesantes o lucrativas. Las transacciones se interceptan a través de un clásico ataque man-in-the-middle, reemplazando los detalles de la cuenta en la factura de un vendedor legítimo con los de los atacantes. Para las víctimas es difícil detectar la sustitución hasta que es demasiado tarde y el dinero ya ha desaparecido.

Al analizar los servidores de comando y control utilizados en los ataques más recientes de 2017, los analistas observaron que había capturas de pantalla de operaciones y proyectos entre la información robada, así como dibujos técnicos y diagramas de red. Además, estas imágenes no se habían conseguido de los equipos de los gerentes de proyectos o de los encargados de la adquisición, los objetivos habituales de los ciberatacantes, sino de equipos de operadores, ingenieros, diseñadores y arquitectos.

"No hay necesidad de que los ciberdelincuentes recojan este tipo de datos para perpetrar sus estafas de phishing. Entonces, ¿qué hacen con esta información? ¿La recopilación de datos es accidental o intencional - quizás un encargo de un tercero? Hasta ahora, no hemos visto ninguna información robada por los ciberdelincuentes nigerianos en el mercado negro. Sin embargo, está claro que, para las empresas atacadas, además de la pérdida financiera directa, un ataque de phishing nigeriano plantea otras amenazas, posiblemente más graves", afirma Maria Garnaeva, analista Senior de Seguridad, Análisis de Amenazas de Infraestructuras Críticas de Kaspersky Lab.

El siguiente paso podría ser obtener acceso a los equipos que forman parte del sistema de control industrial, donde cualquier interceptación o ajuste de la configuración podría tener un impacto devastador.

Cómo mitigar la amenaza

Kaspersky Lab recomienda a las empresas implementar las siguientes prácticas básicas de seguridad:

• Formar a los empleados en seguridad: no hacer clic en enlaces sospechosos y adjuntos y comprobar cuidadosamente el origen de los correos electrónicos y mantenerles informados de las últimas herramientas y trucos utilizados por los ciberdelincuentes.

• Revisar siempre las solicitudes para cambiar los detalles de la cuenta bancaria, los métodos de pago, etc. durante las transacciones.

• Instalar una solución de seguridad en todas las estaciones de trabajo y servidores donde sea posible - e implementar todas las actualizaciones sin demora.

• En el caso de un sistema comprometido, cambiar las contraseñas de todas las cuentas utilizadas en ese sistema.

• Si la organización tiene un sistema de control industrial, instalar una seguridad especializada que monitorice y analice toda la actividad de la red y más.

Para obtener más información sobre esta amenaza y cómo protegerse contra ella, lea el informe en Securelist.com.

INFORMACIÓN ADICIONAL

 

Concienciación en ciberseguridad. Evita que los ataques a tu empresa empiecen desde un error humano.

 
 
Amenazas

El ecosistema de dispositivos conectados y su seguridad, a debate

Dentro del marco de la segunda edición del Foro de la Movilidad e IoT que ha tenido lugar en Madrid, organizado por ISMS Forum, se han abordado interesantes aspectos relacionados con este ecosistema de dispositivos interconectados y su seguridad.