Un phishing nigeriano roba planes y proyectos a compañías industriales

En octubre de 2016, los analistas de Kaspersky Lab notaron un aumento significativo en el número de intentos de infección de malware dirigido a clientes industriales. Identificaron más de 500 empresas atacadas en 50 países.

El malware utilizado pertenece a al menos ocho familias diferentes de espionaje y troyanos backdoor, todas disponibles a bajo precio en el mercado negro, y diseñadas principalmente para robar datos confidenciales e instalar herramientas de administración remota en sistemas infectados.

Los ciberdelincuentes responsables de la reciente oleada de ataques de phishing y de interceptación de pagos a empresas industriales también están robando planes y proyectos operativos de las víctimas, según un informe del Equipo de Respuesta a Ciberemergencias de Sistemas de Control Industrial de Kaspersky Lab. La información sustraída no es necesaria para el esquema económico de los ciberatacantes y plantea una serie de inquietantes preguntas sobre sus intenciones de futuras.

Los ataques de Business Email Compromise (BEC), a menudo vinculados a Nigeria, buscan secuestrar y controlar cuentas empresariales reales que los atacantes pueden utilizar para interceptar o redireccionar las transacciones financieras. En octubre de 2016, los analistas de Kaspersky Lab notaron un aumento significativo en el número de intentos de infectar a clientes industriales. Identificaron más de 500 empresas atacadas en 50 países, principalmente empresas industriales y grandes corporaciones de transporte y logística. Los ataques siguen activos.

La secuencia de ataque

La secuencia de ataque comienza con un correo electrónico de phishing cuidadosamente elaborado que parece provenir de proveedores, clientes, organizaciones comerciales y servicios de distribución. Los ciberdelincuentes usan malware perteneciente a al menos ocho diferentes familias de espionaje y troyanos backdoor, todas disponibles a bajo precio en el mercado negro, y diseñadas principalmente para robar datos confidenciales e instalar herramientas de administración remota en sistemas infectados.

En los equipos infectados, los ciberatacantes toman capturas de pantalla de emails o redireccionan mensajes a su propio buzón para poder buscar transacciones interesantes o lucrativas. Las transacciones se interceptan a través de un clásico ataque man-in-the-middle, reemplazando los detalles de la cuenta en la factura de un vendedor legítimo con los de los atacantes. Es difícil para las víctimas detectar la sustitución hasta que es demasiado tarde y el dinero ya ha desaparecido.

La amenaza desconocida

Al analizar los servidores de comando y control utilizados en los ataques más recientes de 2017, los analistas observaron que entre la información robada había capturas de pantalla de operaciones y proyectos, así como dibujos técnicos y diagramas de red. Además, estas imágenes no se habían conseguido de los equipos de los gerentes de proyectos o de los encargados de la adquisición, los objetivos habituales de los ciberatacantes, sino de equipos de operadores, ingenieros, diseñadores y arquitectos.

«No hay necesidad de que los ciberdelincuentes recojan este tipo de datos para perpetrar sus estafas de phishing. Entonces, ¿qué hacen con esta información? ¿La recopilación de datos es accidental o intencional – quizás un encargo de un tercero? Hasta ahora, no hemos visto ninguna información robada por los ciberdelincuentes nigerianos en el mercado negro. Sin embargo, está claro que para las empresas atacadas además de la pérdida financiera directa, un ataque de phishing nigeriano plantea otras amenazas, posiblemente más graves», afirma Maria Garnaeva, analista Senior de Seguridad, Análisis de Amenazas de Infraestructuras Críticas de Kaspersky Lab.

El siguiente paso podría ser obtener acceso a los equipos que forman parte del sistema de control industrial, donde cualquier interceptación o ajuste de la configuración podría tener un impacto devastador.

Perfil del atacante

Cuando los analistas extrajeron las direcciones de comando y control (C&C) de los archivos maliciosos, resultó que en algunos casos los mismos servidores se utilizaban para malware de diferentes familias. Esto sugiere que hay un solo grupo de ciberdelincuencia detrás de todos los ataques, haciendo uso de diferentes programas maliciosos o de varios grupos que cooperan y comparten recursos.

Los analistas también encontraron que la mayoría de los dominios registrados procedían de residentes de Nigeria.