El Tribunal del Distrito Este de Virginia (EE.UU), ha recibido el escrito de Microsoft contra los ciberdelincuentes que se aprovechan de la pandemia de COVID-19 para intentar estafar a clientes de 62 países de todo el mundo. Tras el análisis del caso, el Tribunal ha dictado una orden judicial que permite a Microsoft tomar el control de los nombres de dominio utilizados por los delincuentes para desarticularlos y así impedir los ataques.
La Unidad de Crímenes Digitales de Microsoft (DCU) observó por primera vez a estos delincuentes en diciembre de 2019, cuando desplegaron un nuevo y sofisticado esquema de phishing diseñado para comprometer las cuentas de los clientes de la compañía. Los delincuentes intentaron obtener acceso al correo electrónico de los clientes, a sus contactos, a documentos confidenciales y demás información valiosa. Basándose en los patrones descubiertos en ese momento, Microsoft utilizó medios técnicos para bloquear la actividad de los ciberdelincuentes y desactivar la aplicación maliciosa utilizada en el ataque. Recientemente, la compañía había observado nuevos intentos de los mismos delincuentes, esta vez utilizando señuelos relacionados con la COVID-19 en los correos electrónicos de phishing para dirigirse a las víctimas.
Ciberataques con una complejidad y sofisticación creciente
Esta actividad maliciosa es una forma de ataque de phishing contra las empresas (Business Email Compromise o BEC), que ha aumentado en complejidad, sofisticación y frecuencia en los últimos años. Según el Informe sobre delitos en Internet de 2019 del FBI, los casos con un mayor impacto económico recibidos por su Centro de Denuncias de Delitos en Internet (IC3) se refieren a delitos tipo BEC, con pérdidas de más de 1.700 millones de dólares, lo que representa casi la mitad de todas las pérdidas financieras debidas a los delitos cibernéticos.
Si bien gran parte de la atención del público en los últimos años se ha centrado en los actos maliciosos llevados a cabo por grupos al servicio de naciones o estados, que buscan perjudicar o tener acceso a las infraestructuras críticas de otros países, el creciente daño económico causado por los cibercriminales ha dado lugar a que tanto el sector público como el privado se unan para frenar los ataques. Microsoft y su Unidad de Crímenes Digitales continúan investigando y persiguiendo a los ciberdelincuentes, en colaboración directa con las fuerzas y cuerpos de seguridad en todo el mundo, con el fin de luchar contra estos delitos.
Correos electrónicos de phishing basados en la temática de negocio
En sus últimas campaña los ciberdelincuentes diseñaban correos electrónicos de phishing de modo que parecían originados por un empleador u otra fuente de confianza y, con frecuencia, se dirigían a los directivos de empresas de diversas industrias, intentando comprometer cuentas, robar información y redirigir las transferencias electrónicas. Cuando el grupo comenzó a llevar a cabo este plan, los correos electrónicos de phishing contenían mensajes engañosos asociados con actividades comerciales genéricas. Por ejemplo, el enlace malicioso del correo electrónico se titulaba «Q4 Report – Dec19», como se ve a continuación.
Recientemente, los ciberdelincuentes cambiaron su estrategia utilizando mensajes relativos a la COVID-19 con el fin de aprovecharse de las preocupaciones financieras relacionadas con la pandemia e inducir a las víctimas seleccionadas a hacer clic en enlaces maliciosos. Por ejemplo, usando términos como «Bono de COVID-19», como se aprecia a continuación.
Una vez que las víctimas abrían los enlaces engañosos, se les pedía que concedieran permisos de acceso a una aplicación web maliciosa (web apps) con un aspecto muy familiar, utilizado con frecuencia en las organizaciones para impulsar la productividad. Sin que la víctima lo supiera, estas aplicaciones web maliciosas eran controladas por los delincuentes, quienes, con un permiso obtenido de forma fraudulenta, podían acceder a la cuenta de Microsoft Office 365 de la víctima.
Después de hacer clic en la ventana de consentimiento de la aplicación web maliciosa, los delincuentes accedían a la cuenta de Office 365 de la víctima, incluido el correo electrónico, los contactos, las notas y el material almacenado en la nube de OneDrive for Business y en el sistema de gestión y almacenamiento de documentos de SharePoint de la empresa.
Microsoft toma numerosas medidas para bloquear las aplicaciones web maliciosas mediante telemetría, que le ayuda a detectar comportamientos atípicos y a mejorar la protección. Cuando los delincuentes actúan forma repentina y masiva, y realizan cambios rápidos en su estrategia para evadir los mecanismos de protección, además de las medidas técnicas, son necesarias acciones adicionales, como la iniciativa judicial presentada en este caso. Esta acción civil contra los ataques de BEC con temática de COVID-19 ha permitido a Microsoft desactivar de forma proactiva los nombres de dominio que forman parte de la infraestructura maliciosa de los delincuentes, lo que constituye un paso fundamental para proteger a los clientes.
Medidas para reforzar la seguridad de los usuarios
Los ciberdelincuentes se han ido adaptando a los acontecimientos actuales, recientemente hablando de la COVID-19 para engañar a las víctimas a través de ingeniería social. Aunque los señuelos utilizados vayan cambiando, las amenazas subyacentes permanecen, evolucionan y crecen, y es más importante que nunca permanecer vigilantes contra los ciberataques.
Para protegerse aún más contra las campañas de phishing, incluido el BEC, Microsoft recomienda la habilitación de la autentificación de doble factor en todas las cuentas de correo electrónico empresariales y personales. En segundo lugar, es necesario aprender a detectar los esquemas de phishing y a protegerse de ellos. Por último, también resulta clave habilitar las alertas de seguridad sobre enlaces de sitios web y archivos sospechosos, así como comprobar cuidadosamente las reglas de reenvío de correo electrónico para detectar cualquier actividad sospechosa. Las empresas pueden aprender a reconocer y remediar este tipo de ataques, y también tomar estas medidas para aumentar la seguridad de sus organizaciones.