Nuevas estrategias de malware para robar credenciales de empresas industriales.
Diversos expertos e investigadores de ciberseguridad han detectado varias campañas de spyware dirigidas a empresas industriales, con el objetivo de robar las credenciales de cuentas de correo electrónico y así, realizar fraudes financieros o revenderlas a otros criminales.
Esta estrategia realizada por cibercriminales, consiste en utilizar herramientas de malware espía estándar, pero solo desplegar cada variante durante un tiempo muy limitado para evitar la detección por parte de los servicios de ciberseguridad de las empresas. Los ejemplos mas utilizados de malware en estos ataques son AgentTesla/Origin Logger, HawkEye, Noon/Formbook, Masslogger, Snake Keylogger, Azorult y Lokibot.
Un ataque atípico
Kaspersky califica estos ataques de spyware como «anómalos» por su corta duración en comparación con lo que se considera típico en estos casos.
Más concretamente, la duración de los ataques ha sido de unos 25 días, mientras que lo normal suele tener runa duración de meses o años.
El número de sistemas afectados en estos ataques es siempre inferior a cien, la mitad de los cuales son dispositivos ICS (sistemas informáticos integrados) desplegados en entornos industriales.
Otro elemento inusual es el uso del protocolo de comunicación basado en SMTP para la filtración de datos al servidor C2 controlado por los criminales.
A diferencia del protocolo HTTPS, que se utiliza en la mayoría de las campañas de spyware estándar para la comunicación C2, SMTP es un canal unidireccional que solo sirve para el robo de datos.
SMTP no es una opción común para los cibercriminales, ya que no puede obtener binarios u otros archivos que no sean de texto, pero funciona gracias a su simplicidad y capacidad de mezclarse con el tráfico de red normal.
Robo de credenciales para favorecer la infiltración
Los atacantes utilizan las credenciales robadas que adquieren mediante spear-phishing para infiltrarse y moverse lateralmente en la red de la empresa.
Además, utilizan los buzones de correo corporativos comprometidos en ataques anteriores como servidores C2 para los nuevos ataques, lo que hace que la detección de los correos maliciosos sea mucho más difícil.
«Curiosamente, las tecnologías antispam corporativas ayudan a los atacantes a pasar desapercibidos mientras filtran las credenciales robadas de los dispositivos infectados, haciéndolos invisibles entre todos los correos spam» – explica el informe de Kaspersky
En términos de números, los analistas identificaron al menos 2.000 cuentas de correo electrónico corporativas utilizadas como servidores C2 temporales y otras 7.000 cuentas de correo electrónico utilizadas de otras maneras.
Venta en los mercados de la Deep web
Muchas de las cuentas de correo electrónico RDP, SMTP, SSH, cPanel y VPN robadas en estos ataques se publican en los mercados de la dark web y finalmente se venden a otros cibercriminales.
Según el análisis estadístico de Kaspersky, alrededor del 3,9% de todas las cuentas RDP vendidas en estos mercados ilegales pertenecen a empresas industriales.
Las cuentas RDP (protocolo de escritorio remoto) son muy valiosas para los ciberdelincuentes porque les permiten acceder de forma remota a los equipos infectados e interactuar directamente con un dispositivo sin levantar ninguna bandera roja.
Normalmente, estas listas despiertan el interés de los criminales que atacan con ransomware, que utilizan el acceso RDP para desplegar su devastador malware.
Desde Pyxis Solutions recomendamos que te pongas en contacto con nosotros si estas interesado proteger tu empresa de ataques informáticos. Somos especialistas en ciberseguridad y te asesoraremos para encontrar la mejor solución para tu empresa.
Ademas te invitamos a descubrir nuestra tienda online con su amplio catalogo en dispositivos industriales tanto de networking como de mobilidad.